Velocity Reviews - Computer Hardware Reviews

Velocity Reviews > Newsgroups > Computing > Computer Security > Internet Firewall FAQ in French

Reply
Thread Tools

Internet Firewall FAQ in French

 
 
William L. Sun
Guest
Posts: n/a
 
      02-06-2005
FAQ de mur à l'épreuve du feu en français partie 1
Murs à l'épreuve du feu D'Internet :
Questions Fréquemment Posées
Paul D. Robertson http://www.velocityreviews.com/forums/(E-Mail Removed)
Curtin Mat (E-Mail Removed)
Marcus J. Ranum (E-Mail Removed)
(traduit par William Sun (E-Mail Removed))

Date : 2004/07/26 15:34:42
Révision : 10.4

Ce document disponible dans le pdfd'and de post-scriptum.




Table des matières
1 Administrativia
1.1 Au sujet du FAQ
1.2 Pour qui le FAQ est-il écrit ?
1.3 Avant d'envoyer Le Courrier
1.4 Où peux-je trouver la version en cours du FAQ ?
1.5 Où peux-je trouver des versions Non-Anglaises du FAQ ?
1.6 Contribuants
1.7 Copyright et utilisation


2 fondations de fond et de mur à l'épreuve du feu
2.1 Quel est un mur à l'épreuve du feu de réseau ?
2.2 Pourquoi est-ce que je voudrais un mur à l'épreuve du feu ?
2.3 Contre quoi un mur à l'épreuve du feu peut-il se protéger ?
2.4 Contre quoi un mur à l'épreuve du feu ne peut-il pas se protéger ?
2.5 Que diriez-vous des virus et de tout autre malware ?
2.6 IPSEC rendra-t-il des murs à l'épreuve du feu désuets ?
2.7 Quelles sont de bonnes sources d'information d'impression sur des
murs à l'épreuve du feu ?
2.8 Où peux-je obtenir plus d'information sur des murs à l'épreuve du
feu sur l'Internet ?


3 issues de conception et d'exécution
3.1 Quelles sont certaines des décisions de base de conception dans un
mur à l'épreuve du feu ?
3.2 Quels sont les types de base de murs à l'épreuve du feu ?
3.3 Quels sont des serveurs de procuration et comment elles
travaillent ?
3.4 Quels sont quelques outils bon marché de criblage de paquet ?
3.5 Quelles sont quelques règles de filtrage raisonnables pour un
écran grain-basé de paquet ?
3.6 Quelles sont quelques règles de filtrage raisonnables pour un
Cisco ?
3.7 Quelles sont les ressources critiques dans un mur à l'épreuve du
feu ?
3.8 Quel est un DMZ, et pourquoi je veut un ?
3.9 Comment est-ce que je pourrais augmenter la sécurité et le
scalability de mon DMZ ?
3.10 Quel est un seul point de ` d'échec ', et comment j'évite d'avoir
un ?
3.11 Comment est-ce que je peux bloquer toute la mauvaise substance ?
3.12 Comment est-ce que je peux limiter l'accès d'enchaînement ainsi
les utilisateurs ne peuvent-ils pas regarder des emplacements indépendants
pour travailler ?


4 Diverses Attaques
4.1 Quel est le trafic conduit par source et pourquoi est il une
menace ?
4.2 Quel est ICMP réoriente et réoriente des bombes ?
4.3 Que diriez-vous du démenti du service ?
4.4 Quel suis-je quelques attaques communes, et comment peut protéger
mon système contre lui ?


5 Comment I...
5.1 Est-ce que je veux vraiment laisser tout lequel mes utilisateurs
demandent ?
5.2 Comment est-ce que je fais fonctionner le Web par mon mur à
l'épreuve du feu ?
5.3 Comment est-ce que je fais fonctionner le SSL par le mur à
l'épreuve du feu ?
5.4 Comment est-ce que je fais le travail de DNS avec un mur à
l'épreuve du feu ?
5.5 Comment est-ce que je fais fonctionner le ftp par mon mur à
l'épreuve du feu ?
5.6 Comment est-ce que je fais fonctionner le telnet par mon mur à
l'épreuve du feu ?
5.7 Comment est-ce que je fais fonctionner le doigt et le WHOIS par
mon mur à l'épreuve du feu ?
5.8 Comment est-ce que je fais le Gopher, archie, et d'autres services
fonctionnent-ils par mon mur à l'épreuve du feu ?
5.9 Quelles sont les issues au sujet de X11 par un mur à l'épreuve du
feu ?
5.10 Comment est-ce que je fais fonctionner RealAudio par mon mur à
l'épreuve du feu ?
5.11 Comment est-ce que je fais mon acte de web server en tant que
d'entrée pour une base de données qui vit sur mon réseau privé ?
5.12 Mais ma base de données a un web server intégré, et je veux
employer cela. Est-ce que je ne peux pas juste pousser un trou dans le mur à
l'épreuve du feu et percer un tunnel ce port ?
5.13 Comment Est-ce que Je Fais fonctionner l'IP Le Multicast Avec Mon
Mur à l'épreuve du feu ?


6 ports de TCP et de UDP
6.1 Quel est un port ?
6.2 Comment est-ce que je sais quelle application emploie quel port ?
6.3 Quels sont les ports d'ÉCOUTE ?
6.4 Comment est-ce que je détermine pour quel service le port est ?
6.5 Il est sûr passer quels ports par un mur à l'épreuve du feu ?
6.6 Le comportement du ftp
6.7 Quel logiciel emploie quel mode de ftp ?
6.8 Mon essai de mur à l'épreuve du feu est-il de se relier dehors ?
6.9 L'anatomie d'un raccordement de TCP


A. Quelques produits commercial et fournisseurs
B. Glossaire des limites Mur à l'épreuve du feu-Connexes
Bibliographie


1 Administrativia


1.1 Au sujet du FAQ
Cette collection de Frequenty a posé des questions (FAQ) et des
réponses a été compilées sur une période des années, voyant quelles
questions les gens posent sur des murs à l'épreuve du feu dans des forum
tels que le USENET, les listes d'expédition, et les emplacements de Web. Si
vous avez une question, regarder ici pour voir si on lui répond avant la
signalisation votre question est bonne forme. N'envoyez pas vos questions au
sujet des murs à l'épreuve du feu aux défenseurs de FAQ.

Les défenseurs font bon accueil à l'entrée et aux commentaires sur le
contenu de ce FAQ. Les commentaires se sont reliés au FAQ devraient être
adressés à (E-Mail Removed). Avant que vous nous envoyiez le
courrier, veuillez être sûr de voir que les sections 1.2 et 1.3 à s'assurer
ceci est le bon document pour que vous lisiez.



1.2 Pour qui le FAQ est-il écrit ?
Les murs à l'épreuve du feu sont venus loin des jours où ce FAQ a
démarré. Ils sont allés d'être les systèmes fortement adaptés aux besoins du
client administrés par leurs implementors à un produit traditionnel. Les
murs à l'épreuve du feu ne sont plus seulement aux mains de ceux qui
conçoivent et mettent en application des systèmes de sécurité ; même les
utilisateurs sécurité-conscients les ont à la maison.

Nous avons écrit ce FAQ pour des lotisseurs et des administrateurs de
systèmes informatiques. Nous avons essayé d'être assez inclus, faisant de la
place pour les nouveaux venus, mais nous assumons toujours un certain fond
technique de base. Si vous constatez que vous ne comprenez pas ce document,
mais pensez que vous devez savoir plus au sujet des murs à l'épreuve du feu,
il pourrait jaillir soit que vous devez réellement obtenir plus de fond dans
la gestion de réseau d'ordinateur d'abord. Nous fournissons les références
qui nous ont aidés ; peut-être elles vous aideront également.

Nous nous concentrons d'une matière prédominante sur l'"réseau" murs à
l'épreuve du feu, mais `` accueillez le ''ou des murs à l'épreuve du feu de
''de ``"personal seront adressés le cas échéant.



1.3 Avant d'envoyer Le Courrier
Notez que cette collection de questions fréquent-demandées est un
résultat d'agir l'un sur l'autre avec beaucoup de gens de différents milieux
dans une grande variété de forum publics. L'adresse mur à l'épreuve du
feu-FAQ n'est pas un service SVP. Si vous essayez d'employer une application
qui indique que cela ne fonctionne pas en raison d'un mur à l'épreuve du feu
et vous pensez que vous devez enlever votre mur à l'épreuve du feu, svp ne
nous envoyez pas le courrier demandant comment.

Si vous voulez savoir `` vous débarassez de votre ''de mur à l'épreuve
du feu parce que vous ne pouvez pas employer une certaine application, ne
nous envoyez pas le courrier demandant l'aide. Nous ne pouvons pas vous
aider. Vraiment.

Qui peut vous aider ? Bonne question. Cela dépendra sur ce
qu'exactement est le problème, mais voici plusieurs indicateurs. Si aucune
de ces derniers ne fonctionne, veuillez ne nous demandent pas plus. Nous ne
savons pas.

Le fournisseur du logiciel que vous employez.
Le fournisseur ''d'appareils de matériel `` que vous employez.
Le fournisseur du service de réseau que vous employez. C'est-à-dire,
si vous êtes sur AOL, demandez-les. Si vous essayez d'employer quelque chose
sur un réseau de corporation, parlez à votre interface gestionnaire.


1.4 Où peux-je trouver la version en cours du FAQ ?
Le FAQ peut être trouvé sur le Web à

http://www.compuwar.net/pubs/fwfaq/.
http://www.interhack.net/pubs/fwfaq/.
C'est revue mensuelle également signalée à

comp.security.firewalls,
comp.security.unix,
comp.security.misc,
comp.answers, et
news.answers.
Des versions signalées sont archivées dans tous les endroits
habituels. Malheureusement, la version signalée au USENET et archivée ce
manque de version des jolies images et des hyperliens utiles a trouvé dans
la version d'enchaînement.



1.5 Où peux-je trouver des versions Non-Anglaises du FAQ ?
Plusieurs traductions sont disponibles. (si vous avez fait une
traduction et elle n'est pas énumérée ici, svp écrivez-nous ainsi nous
pouvons mettre à jour le document principal.)


Norvégien
Traduction par Jon Haugsand
http://helmersol.nr.no/haandbok/doc/...nnmur-faq.html


1.6 Contribuants
Beaucoup de gens ont écrit des suggestions utiles et le commentaire
pensif. Nous sommes reconnaissants à tous les contribuants. Nous voudrions
remercier l'afew de nom : Keinanen Vesa, Allen Leibowitz, colporteur de
Brent, Brian Boyle, D. Clyde Williamson, Richard Reiner, Humberto Ortiz
Zuazaga, William Sun, et espoir de Theodore.



1.7 Copyright et utilisation
Copyright ©1995-1996, 1998 Marcus J. Ranum. Copyright ©1998-2002
Curtin Mat. Copyright 2004, Paul D. Robertson. Tous droits réservés. Ce
document peut être employé, réimprimé, et redistribué comme fournit cette
notification de copyright et toutes les attributions restent intact. On
permet également explicitement des traductions du texte complet de l'anglais
original à d'autres langues. Les traducteurs peuvent ajouter leurs noms ``
section des contribuants à l''.



2 fondations de fond et de mur à l'épreuve du feu
Avant de pouvoir comprendre une discussion complète des murs à
l'épreuve du feu, il est important de comprendre les principes de base qui
font fonctionner des murs à l'épreuve du feu.



2.1 Quel est un mur à l'épreuve du feu de réseau ?
Un mur à l'épreuve du feu est un système ou un groupe de systèmes qui
imposent une politique de contrôle d'accès entre deux réseaux ou plus. Le
moyen réel par lequel ceci est accompli change considérablement, mais en
principe, le mur à l'épreuve du feu peut être considéré comme paire de
mécanismes : un qui existe pour bloquer le trafic, et l'autre qui existent
pour permettre le trafic. Quelques murs à l'épreuve du feu mettent un plus
grand accent sur bloquer le trafic, alors que d'autres soulignent le trafic
laissant. Probablement la chose la plus importante à reconnaître au sujet
d'un mur à l'épreuve du feu est qu'elle met en application une politique de
contrôle d'accès. Si vous n'avez pas une bonne idée de quel genre d'accès
vous voulez laisser ou nier, un mur à l'épreuve du feu vraiment ne vous
aidera pas. Il est également important d'identifier que la configuration du
mur à l'épreuve du feu, parce que c'est un mécanisme pour imposer la
politique, impose sa politique à tout derrière elle. Les administrateurs
pour des murs à l'épreuve du feu contrôlant la connectivité pour un grand
nombre de centres serveurs ont donc une responsabilité lourde.



2.2 Pourquoi est-ce que je voudrais un mur à l'épreuve du feu ?
L'Internet, comme n'importe quelle autre société, est infesté du genre
de secousses qui apprécient l'équivalent électronique de l'amortissement sur
les murs d'autres avec le spraypaint, de déchirer leurs boîtes aux lettres,
ou de se reposer juste dans la rue soufflant leurs klaxons de voiture.
Certains essayent d'obtenir le vrai travail effectué au-dessus de
l'Internet, et d'autres ont des données sensibles ou de propriété
industrielle qu'elles doivent se protéger. Habituellement, le but d'un mur à
l'épreuve du feu est de garder les secousses hors de votre réseau tout en
vous laissant toujours obtenir votre travail fait.

Beaucoup de sociétés et centres de calculs de style traditionnel ont
des politiques et des pratiques en matière de calcul de sécurité qui doivent
être suivies. Dans un cas où les politiques d'une compagnie dictent comment
des données doivent être protégées, un mur à l'épreuve du feu est très
important, puisque c'est l'incorporation de la politique de corporation.
Fréquemment, la partie la plus dure d'accrochage à l'Internet, si vous êtes
une grande compagnie, ne justifie pas les dépenses ou l'effort, mais
convainc la gestion qu'il est sûr de faire ainsi. Un mur à l'épreuve du feu
fournit non seulement la vraie sécurité -- il joue souvent un rôle important
comme couverture de sécurité pour la gestion.

Pour finir, un mur à l'épreuve du feu peut agir en tant que votre ``
''de corporation d'ambassadeur à l'Internet. Beaucoup de sociétés emploient
leurs systèmes de mur à l'épreuve du feu comme endroit pour stocker des
informations publiques sur les produits de corporation et les services,
dossiers à télécharger, bogue-fixe, et ainsi de suite. Plusieurs de ces
systèmes ont les parties importantes devenues de la structure de service
d'Internet (par exemple, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com)
et ont réfléchi bien sur leurs commanditaires d'organisation. Notez que
tandis que c'est historiquement vrai, la plupart des organismes placent
maintenant l'information publique sur un serveur de Web, souvent protégé par
un mur à l'épreuve du feu, mais pas normalement sur le mur à l'épreuve du
feu lui-même.



2.3 Contre quoi un mur à l'épreuve du feu peut-il se protéger ?
Quelques murs à l'épreuve du feu permettent seulement le trafic
d'email par eux, protégeant de ce fait le réseau contre toutes les attaques
autres que des attaques contre le service d'email. D'autres murs à l'épreuve
du feu assurent des protections moins strictes, et bloquent les services qui
sont connus pour être des problèmes.

Généralement, des murs à l'épreuve du feu sont configurés pour se
protéger contre unauthenticated des ouvertures interactives `` du monde de
''d'extérieur. Ceci, plus que n'importe quoi, aides empêchent des vandales
de noter dans des machines sur votre réseau. Des murs à l'épreuve du feu
plus raffinés bloquent le trafic de l'extérieur à l'intérieur, mais
permettent à des utilisateurs sur l'intérieur de communiquer librement avec
l'extérieur. Le mur à l'épreuve du feu peut vous protéger contre n'importe
quel type d'attaque réseau-soutenue si vous le débranchez.

Les murs à l'épreuve du feu sont également importants puisqu'ils
peuvent fournir `` un ''simple de point de bobine où la sécurité et l'audit
peuvent être imposés. À la différence dedans d'une situation où un système
informatique est attaqué par quelqu'un qui compose dedans avec un modem, le
mur à l'épreuve du feu peut agir en tant que `` ''efficace de robinet de
téléphone et outil traçant. Les murs à l'épreuve du feu fournissent une
fonction de notation et apurante importante ; souvent ils fournissent des
sommaires à l'administrateur au sujet quels genres et quantité de trafic a
traversé elle, combien de tentatives là devaient se casser en elle, etc...

Pour cette raison, les notations de mur à l'épreuve du feu sont des
données en critique importantes. Elles peuvent être employées comme évidence
dans une cour de loi dans la plupart des pays. Vous devriez sauvegarder,
analyser et protéger le mur à l'épreuve du feu de yoru note en conséquence.

C'est un point important : fournir ce `` ''de point de bobine peut
atteindre le même objectif sur votre réseau comme un bidon gardé de porte
pour les lieux physiques de votre emplacement. Ce des moyens lorsque vous
avez un changement des `` zones 'ou des niveaux de la sensibilité, un tel
point de contrôle est approprié. Une compagnie n'a rarement seulement une
porte extérieure et aucun réceptionniste ou personnel de sécurité pour
signer des insignes sur le chemin. S'il y a des couches de sécurité sur
votre emplacement, il est raisonnable de s'attendre à des couches de
sécurité sur votre réseau.



2.4 Contre quoi un mur à l'épreuve du feu ne peut-il pas se protéger ?
Les murs à l'épreuve du feu ne peuvent pas se protéger contre les
attaques qui ne passent pas par le mur à l'épreuve du feu. Beaucoup de
sociétés qui se relient à l'Internet sont très intéressées au sujet des
données de propriété industrielle fuyant hors de la compagnie par cet
itinéraire. Malheureusement pour ceux concernées, une bande magnétique, un
disque compact, des commandes d'un instantané de DVD, ou d'USB mettent en
boîte juste comme efficacement soyez employé pour exporter des données.
Beaucoup d'organismes qui sont terrifiés (à un niveau de gestion) des
raccordements d'Internet n'ont aucune politique logique au sujet de la façon
dont cadran-dans l'accès par l'intermédiaire des modems devrait être
protégé. Il est idiot de construire une porte en acier épaisse de six-pied
quand vous vivez dans une maison en bois, mais il y a beaucoup d'organismes
hors là d'acheter les murs à l'épreuve du feu chers et de négliger le
nombreux d'autres en arrière-portes dans leur réseau. Pour qu'un mur à
l'épreuve du feu travaille, ce doit être une partie d'une architecture
d'organisation globale cohérente de sécurité. Les politiques de mur à
l'épreuve du feu doivent être réalistes et refléter le niveau de la sécurité
dans le réseau entier. Par exemple, un emplacement avec des données secrètes
ou classifiées supérieures n'a pas besoin d'un mur à l'épreuve du feu du
tout : elles ne devraient pas s'accrocher jusqu'à l'Internet en premier
lieu, ou les systèmes avec les données vraiment secrètes devraient être
isolés dans le reste du réseau de corporation.

Une autre chose que un mur à l'épreuve du feu ne peut pas vraiment
vous protéger contre est des traîtres ou des idiots à l'intérieur de votre
réseau. Tandis qu'un espion industriel pourrait exporter l'information par
votre mur à l'épreuve du feu, il est juste comme probablement pour
l'exporter par un téléphone, un télécopieur, ou un disque compact. CDs sont
des moyens bien plus probables pour information de fuir de votre
organisation qu'un mur à l'épreuve du feu. Les murs à l'épreuve du feu ne
peuvent pas également vous protéger contre la stupidité. Les utilisateurs
qui indiquent l'information sensible par téléphone sont de bonnes cibles
pour la technologie sociale ; un attaquant peut pouvoir se casser en votre
réseau en déviant complètement votre mur à l'épreuve du feu, s'il peut
trouver `` un intérieur utile des employés de ''qui peut être dupé dans
donner l'accès à une piscine de modem. Avant de décider ce n'est pas un
problème dans votre organisation, se demandent combien ennui un entrepreneur
a obtenir noté dans le réseau ou combien de difficulté un utilisateur qui a
oublié son mot de passe le devoir pour remettre à zéro. Si les personnes sur
le service SVP croient que chaque appel est interne, vous avez un problème
qui ne peut pas être fixé en serrant des commandes sur les murs à l'épreuve
du feu.

Les murs à l'épreuve du feu ne peuvent pas se protéger contre
l'excédent de perçage d'un tunnel que la plupart des protocoles
d'application à trojaned ou les clients mal écrits. Il n'y a aucune balle
magique et un mur à l'épreuve du feu n'est pas une excuse pour ne pas mettre
en application des commandes de logiciel sur les réseaux internes ou pour ne
pas ignorer le degré de sécurité de centre serveur sur des serveurs.
Mauvaises choses de ''de perçage d'un tunnel les `` au-dessus du HTTP, du
smtp, et d'autres protocoles est tout à fait simple et trivialement
démontrée. La sécurité n'est pas le `` feu et n'oublie pas ''.

Pour finir, les murs à l'épreuve du feu ne peuvent pas se protéger
contre de mauvaises choses étant permises par elles. Par exemple, beaucoup
de chevaux de Trojan emploient le protocole du Internet Relay Chat (IRC)
pour permettre à un attaquant de commander un centre serveur interne
compromis d'un serveur d'IRC de public. Si vous permettez à n'importe quel
système interne de se relier à n'importe quel système externe, alors votre
mur à l'épreuve du feu n'assurera aucune protection contre ce vecteur
d'attaque.



2.5 Que diriez-vous des virus et de tout autre malware ?
Les murs à l'épreuve du feu ne peuvent pas se protéger très bien
contre des choses comme les virus ou le logiciel malveillant (malware). Il y
a trop de manières de coder les dossiers binaires pour le transfert sur des
réseaux, et trop de de différents architectures et virus pour essayer de les
rechercher tous. En d'autres termes, un mur à l'épreuve du feu ne peut pas
remplacer la sécurité-conscience de la part de vos utilisateurs. En général,
un mur à l'épreuve du feu ne peut pas se protéger contre une attaque
data-driven -- les attaques dans lesquelles quelque chose est expédiée ou
copiée à un centre serveur interne où elle est alors exécutée. Cette forme
d'attaque s'est produite dans le passé contre de diverses versions de
sendmail, ghostscript, scripting des agents d'utilisateur de courrier comme
des perspectives, et des navigateurs de Web comme l'Internet Explorer.

Les organismes qui sont profondément préoccupés par des virus
devraient mettre en application des mesures de contrôle organisation-larges
de virus. Plutôt qu'en essayant seulement d'examiner des virus dehors au mur
à l'épreuve du feu, assurez-vous que chaque dessus de bureau vulnérable a le
logiciel de balayage de virus qui est couru quand la machine est rechargée.
Couvrir votre réseau avec le logiciel de balayage de virus se protégera
contre les virus qui entrent par l'intermédiaire des disquettes, CDs,
modems, et l'Internet. L'essai de bloquer des virus au mur à l'épreuve du
feu se protégera seulement contre des virus contre l'Internet. Le balayage
de virus au mur à l'épreuve du feu ou au passage de E-mail arrêtera un grand
nombre d'infections.

Néanmoins, un nombre croissant de fournisseurs de mur à l'épreuve du
feu offrent le `` virus détectant des murs à l'épreuve du feu de ''. Ils
sont probablement seulement utiles pour les utilisateurs naïfs échangeant
des programmes exécutables d'Windows-sur-Intel et des documents
malveillant-macro-capables d'application. Il y a beaucoup des approches mur
à l'épreuve du feu-basées pour traiter des problèmes comme `` le ver de
''d'ILOVEYOU et les attaques reliées, mais ce sont des approches vraiment
trop simplifiées qui essayent de limiter les dommages de quelque chose qui
est si stupide ils devraient ne jamais s'être produits en premier lieu. Ne
comptez sur aucune protection contre des attaquants avec ce dispositif.
(puisque l'`` ''d'ILOVEYOU a circulé, nous avons vu au moins une
demi-douzaine attaques semblables, y compris la mélisse, Happy99, codons le
rouge, et les Badtrans.B, qui ont été heureusement passés par beaucoup de
murs à l'épreuve du feu et passages virus-détectants de E-mail.)

Un mur à l'épreuve du feu fort n'est jamais un produit de remplacement
pour le logiciel sensible qui identifie la nature de ce qu'il manipule --
untrusted des données d'unauthenticated la partie -- et se comporte
convenablement. Ne pensez pas que parce que `` chacun ''utilise cette
annonce ou parce que le fournisseur est une compagnie multinationale
gargantuesque, vous sont sûrs. En fait, il n'est pas vrai que `` chacun
''utilise n'importe quelle annonce, et les compagnies qui se spécialisent
dans la technologie de rotation inventée ailleurs dans quelque chose qui est
`` facile d'employer le ''sans n'importe quelle expertise sont pour produire
le logiciel qui peut être dupé. Davantage de considération de cette matière
serait valable [3], mais est au delà de la portée de ce document.



2.6 IPSEC rendra-t-il des murs à l'épreuve du feu désuets ?
Certains ont argué du fait que c'est le cas. Avant de prononcer une
prévision si rapide, cependant, il est intéressant de considérer ce qu'est
IPSEC et ce qu'il . Une fois que nous savons ceci, nous pouvons considérer
s'IPSEC résoudra les problèmes que nous essayons de résoudre avec des murs à
l'épreuve du feu.

IPSEC (sécurité d'IP) se rapporte à un ensemble de normes développées
par la technologie d'Internet Charge la force (IETF). Il y a beaucoup de
documents qui définissent collectivement ce qui est connu en tant que ``
''d'IPSEC [6]. IPSEC résout deux problèmes qui ont infesté la suite de
protocole d'IP pendant des années : authentification de centre-à-centre
serveur (qui fera des hôtes savoir qu'ils parlent aux centres serveurs
qu'ils pensent qu'ils sont) et chiffrage (qui empêchera des attaquants de
pouvoir observer le trafic aller entre les machines).

Notez que n'est ni l'un ni l'autre de ces problèmes ce que des murs à
l'épreuve du feu ont été créés pour résoudre. Bien que les murs à l'épreuve
du feu puissent aider à atténuer certains des risques actuels sur un
Internet sans authentification ou chiffrage, il y a vraiment deux classes
des problèmes ici : intégrité et intimité d'information coulant entre les
centres serveurs et les limites placées sur quels genres de connectivité est
permis entre différents réseaux. IPSEC adresse l'anciens classe et murs à
l'épreuve du feu le dernier.

Ce qui ces est le moyen celui-là n'éliminera pas le besoin d'autre,
mais il crée quelques possibilités intéressantes quand nous regardons
combinants des murs à l'épreuve du feu avec les centres serveurs
IPSEC-permis. À savoir, des choses telles que les réseaux privés virtuels
fournisseur-indépendants (VPNs), un meilleur filtrage de paquet (en filtrant
dessus si les paquets ont l'en-tête d'authentification d'IPSEC), et les murs
à l'épreuve du feu d'application-couche pourront avoir de meilleurs moyens
de vérification de centre serveur en employant réellement l'en-tête
d'authentification d'IPSEC au lieu `` du ''de confiance juste que le IP
address a présenté.



2.7 Quelles sont de bonnes sources d'information d'impression sur des
murs à l'épreuve du feu ?
Il y a plusieurs livres qui touchent sur des murs à l'épreuve du feu.
Mieux connus sont :

Murs à l'épreuve du feu d'Internet de bâtiment, 2d ED.
Auteurs
Elizabeth D. Zwicky, tonnelier de Simon, et colporteur de D. Brent
Éditeur
O'Reilly
Édition
2000
ISBN
1-56592-871-7

Murs à l'épreuve du feu et sécurité d'Internet : Repousser l'intrus
Astucieux
Auteurs
Facture Cheswick, Steve Bellovin, Avi Rubin
Éditeur
Addison Wesley
Édition
2003
ISBN
020163466X

Sécurité Pratique D'Internet Et D'Unix
Auteurs
Simson Garfinkel et gène Spafford
Éditeur
O'Reilly
Édition
1996
ISBN
1-56592-148-8
Note
Discute principalement le degré de sécurité de centre serveur.
Les références relatives sont :

Interconnexion de réseaux avec TCP/IP Vols I, II, et III
Auteurs
Arrivant et David Stevens de Douglas
Éditeur
Apprenti-Hall
Édition
1991
ISBN
0-13-468505-9 (i), 0-13-472242-6 (ii), 0-13-474222-2 (iii)
Commentaire
Une discussion détaillée sur l'architecture et exécution de l'Internet
et de ses protocoles. Le volume I (sur des principes, des protocoles et
l'architecture) est lisible par chacun. Le volume 2 (sur la conception,
l'exécution et les internals) est plus technique. Calcul de serveur de
client de couvertures du volume 3.

Sécurité de système d'Unix -- un guide pour des utilisateurs et des
interfaces gestionnaire
Auteur
Cari De David
Éditeur
Addison Wesley
Édition
1992
ISBN
0-201-56327-4


2.8 Où peux-je obtenir plus d'information sur des murs à l'épreuve du
feu sur l'Internet ?

Manuel De Sécurité D'Emplacement
http://www.rfc-editor.org/rfc/rfc2196.txt le manuel de sécurité
d'emplacement est un document d'IETF de l'information qui décrit les
questions fondamentales qui doivent être adressées pour la bonne sécurité
d'emplacement de bâtiment. Les murs à l'épreuve du feu sont une part d'une
plus grande stratégie de sécurité, car le manuel de sécurité d'emplacement
montre.
Murs à l'épreuve du feu Expédiant La Liste
http://www.isc.org/index.pl?/ops/lists/firewalls/ les murs à l'épreuve
du feu d'Internet expédiant la liste est un forum pour des administrateurs
et des implementors de mur à l'épreuve du feu.
Mur à l'épreuve du feu-Magiciens Expédiant La Liste
http://honor.icsalabs.com/facteur/li...rewall-wizards les
magiciens de mur à l'épreuve du feu expédiant la liste est un mur à
l'épreuve du feu modéré et une liste reliée par sécurité qui est plus comme
un journal qu'un soapbox public.
Mur à l'épreuve du feu HOWTO
http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html décrit exactement ce
qui est nécessaire pour construire un mur à l'épreuve du feu, en particulier
en utilisant Linux.
Trousse à outils de mur à l'épreuve du feu (FWTK) et papiers de mur à
l'épreuve du feu
ftp://ftp.tis.com/pub/firewalls/
Publications relatives de mur à l'épreuve du feu de Marcus Ranum
http://www.ranum.com/pubs/
Outils de sécurité d'université du Texas A&M
http://www.net.tamu.edu/ftp/security/TAMU/
Page de murs à l'épreuve du feu d'Internet de projet de CÔTE
http://www.cerias.purdue.edu/coast/firewalls/
Back to Top
FAQ de mur à l'épreuve du feu en français partie 2
3 issues de conception et d'exécution


3.1 Quelles sont certaines des décisions de base de conception dans un
mur à l'épreuve du feu ?
Il y a un certain nombre de questions de base de conception qui
devraient être abordées par la personne chanceuse qui a été chargée avec la
responsabilité de concevoir, d'indiquer, et de mettre en application ou de
surveiller l'installation d'un mur à l'épreuve du feu.

Première et la plupart importante de la décision reflète la politique
de la façon dont votre compagnie ou organisation veut actionner le système :
est-ce que le mur à l'épreuve du feu en place explicitement pour nier tous
les services excepté ceux critiques à la mission de se relier au filet, ou
le mur à l'épreuve du feu en place pour fournir une méthode dosée et apurée
`` d'accès s'alignant de ''est est d'une façon non-menaçante ? Il y a des
degrés de paranoïa entre ces positions ; la position finale de votre mur à
l'épreuve du feu pourrait être plus le résultat d'un politique qu'une
décision de technologie.

La seconde est : quel niveau de la surveillance, redondance, et
commande voulez-vous ? Après avoir établi le niveau acceptable de risque
(c.-à-d., comment le paranoïde vous sont) en résolvant le premier problème,
vous pouvez former une liste de contrôle de ce qui devrait être surveillé,
autorisé, et nié. En d'autres termes, vous commencez par figurer hors de vos
objectifs globaux, et combinez alors a besoin de l'analyse avec une
évaluation des risques, et assortit les conditions presque toujours
contradictoires dehors dans une liste de blanchisserie qui indique ce que
vous projetez mettre en application.

La troisième issue est financière. Nous ne pouvons pas adresser
celui-ci ici en n'importe quoi mais termes vagues, mais il est important
d'essayer de mesurer toutes les solutions proposées en termes de combien
cela coûtera l'un ou l'autre d'acheter ou de mettre en application. Par
exemple, un produit complet de mur à l'épreuve du feu peut coûter entre
$100.000 à l'extrémité élevée, et libère à la basse extrémité. L'option
libre, de faire une certaine fantaisie configurant sur un Cisco ou un
couteau semblable ne coûtera rien mais le temps de personnel et quelques
tasses de café. Mettre en application un haut mur à l'épreuve du feu
d'extrémité à partir de zéro pourrait coûter plusieurs hommes-mois, qui
peuvent égaliser à la valeur $30.000 du salaire et des avantages de
personnel. Les frais généraux de gestion de systèmes sont également une
considération. Établir un maison-brassage est très bien, mais il est
important de l'établir de sorte qu'il n'exige pas l'attention constante (et
chère). Il est important, en d'autres termes, évaluer les murs à l'épreuve
du feu non seulement en termes de ce qu'elles coûtent maintenant, mais
continuant coûte comme l'appui.

Du côté technique, il y a des couples des décisions à faire, basés sur
le fait que pour tous les buts pratiques de ce que nous parlons est un
service statique de cheminement de trafic placé entre le couteau de
fournisseur de service de réseau et votre réseau interne. Le service de
cheminement de trafic peut être mis en application à un niveau d'IP par
l'intermédiaire de quelque chose comme des règles de criblage dans un
couteau, ou à un niveau d'application par l'intermédiaire des passages et
des services de procuration.

La décision à faire est si placer une machine dépouillée-vers le bas
exposée sur le réseau extérieur pour courir des services de procuration pour
le telnet, le ftp, les nouvelles, etc., ou s'installer un screening router
comme filtre, permettant la communication avec une ou plusieurs machines
internes. Il y a des avantages et des inconvénients aux deux approches, avec
la machine de procuration fournissant un plus grand niveau d'audit et,
potentiellement, la sécurité en échange pour le coût accru dans la
configuration et une diminution au niveau du service qui peut être fourni
(puisqu'une procuration doit être développée pour chaque service désiré). La
vieille différence entre la facilité d'utilisation et la sécurité revient
pour nous hanter avec une vengeance.



3.2 Quels sont les types de base de murs à l'épreuve du feu ?
Conceptuellement, il y a trois types de murs à l'épreuve du feu :

Couche réseau
Couche application
Hybrides
Ils ne sont pas aussi différents que vous pourriez penser, et les
dernières technologies brouillent la distinction au point où elle n'est plus
claire si l'un ou l'autre un est un `` meilleur ''ou `` un plus mauvais.''
En tant que toujours, vous devez faire attention à sélectionner le type qui
satisfait vos besoins.

Ce qui est ce qui dépend de quels mécanismes le mur à l'épreuve du feu
emploie pour passer le trafic d'une zone de sécurité à l'autre. Le modèle
international de l'interconnexion de systèmes ouverts de l'organisme de
normalisation (OIN) (OSI) pour la gestion de réseau définit sept couches, où
chaque couche fournit les services dont `` les couches de plus haut niveau
de ''dépendent. Dans l'ordre du fond, ces couches sont physiques, liaison de
transmission de données, réseau, transport, session, présentation,
application.

La chose importante à reconnaître est que le plus bas le mécanisme de
expédition, moins que le mur à l'épreuve du feu peut exécuter d'examen.
D'une manière générale, les murs à l'épreuve du feu plus bas sont plus
rapides, mais sont plus faciles à duper dans faire la chose fausse.

De nos jours, la plupart des murs à l'épreuve du feu entrent dans ``
la catégorie hybride de '', qui font le réseau filtrant aussi bien qu'une
certaine quantité d'inspection d'application. La quantité change selon le
fournisseur, le produit, le protocole et la version, ainsi un certain niveau
de creuser et/ou d'examiner est souvent nécessaire.


3.2.1 Murs à l'épreuve du feu de couche réseau
Ceux-ci prennent généralement leurs décisions basées sur la source,
les adresses de destination et les ports (voir l'annexe 6 pour une
discussion plus détaillée des ports) en différents paquets d'IP. Un couteau
simple est `` le mur à l'épreuve du feu traditionnel de couche réseau de '',
puisqu'il ne peut pas prendre en particulier des décisions sophistiquées au
sujet de derrière de quel paquet parle réellement ou d'où il est venu
réellement. Les murs à l'épreuve du feu modernes de couche réseau sont
devenus de plus en plus sophistiqués, et maintiennent maintenant des
informations internes sur l'état de raccordements passant par eux, le
contenu de certains des flux de données, et ainsi de suite. Une chose qui
est une distinction importante au sujet de beaucoup de murs à l'épreuve du
feu de couche réseau est qu'ils conduisent le trafic directement cependant
ils, ainsi à l'utilisation une vous devez avoir un bloc bien assigné de IP
address ou employer `` un bloc privé d'adresse de ''d'Internet [5]. Les murs
à l'épreuve du feu de couche réseau tendent à être très rapides et à tendre
à être très transparents aux utilisateurs.


Le schéma 1 : Mur à l'épreuve du feu Examiné de Centre serveur

Sur le schéma 1, un mur à l'épreuve du feu de couche réseau a appelé
`` un centre serveur examiné que le ''de mur à l'épreuve du feu est
représenté. Dans un mur à l'épreuve du feu examiné de centre serveur,
l'accès à et d'un centre serveur simple est commandé à l'aide d'un couteau
fonctionnant à une couche réseau. Le centre serveur simple est un bastion
host ; un fort-point haut-défendu et fixé que (si tout va bien) peut
résister à l'attaque.


Le schéma 2 : Mur à l'épreuve du feu Examiné de Sous-filet

Mur à l'épreuve du feu de couche réseau d'exemple: Sur le schéma 2, un
mur à l'épreuve du feu de couche réseau a appelé `` un ''examiné de mur à
l'épreuve du feu de sous-filet est représenté. Dans un mur à l'épreuve du
feu examiné de sous-filet, l'accès à et d'un réseau entier est commandé à
l'aide d'un couteau fonctionnant à une couche réseau. Il est semblable à un
centre serveur examiné, sauf que c'est, en fait, un réseau des centres
serveurs examinés.


3.2.2 Murs à l'épreuve du feu de couche application
Ce sont généralement des centres serveurs courant les serveurs de
procuration, qui ne permettent aucun trafic directement entre les réseaux,
et qui effectuent la notation et apurer raffinés du trafic passant par
elles. Puisque les applications de procuration sont des composants de
logiciel fonctionnant sur le mur à l'épreuve du feu, c'est un bon endroit
pour faire un bon nombre de notation et de contrôle d'accès. Des murs à
l'épreuve du feu de couche application peuvent être employés en tant que
traducteurs d'adresse de réseau, puisque le trafic va dans un `` ''latéral
et hors de l'autre, ensuite ayant passé par une application qui masque
efficacement l'origine du raccordement de lancement. Avoir une application
de la manière dans certains cas peut effectuer l'exécution et peut rendre le
mur à l'épreuve du feu moins transparent. Les murs à l'épreuve du feu tôt de
couche application de ce type construits en utilisant la trousse à outils de
mur à l'épreuve du feu de TIS, ne sont pas particulièrement transparents aux
utilisateurs et peuvent exiger de la formation. Les murs à l'épreuve du feu
modernes de couche application sont souvent entièrement transparents. Les
murs à l'épreuve du feu de couche application tendent à fournir des rapports
de contrôle plus détaillés et à tendre à imposer des modèles plus
conservateurs de sécurité que des murs à l'épreuve du feu de couche réseau.


Le schéma 3 : Conjuguent Le Passage Homed

Mur à l'épreuve du feu de couche application d'exemple: Sur le schéma
3, un mur à l'épreuve du feu de couche application appelé `` un ''homed duel
de passage est représenté. Un passage homed duel est un centre serveur
fortement fixé qui court le logiciel de procuration. Il a deux interfaces de
réseau, une sur chaque réseau, et bloque tout le trafic passant par lui.

La plupart des murs à l'épreuve du feu se trouvent maintenant quelque
part entre les murs à l'épreuve du feu de couche réseau et les murs à
l'épreuve du feu de couche application. Comme prévu, les murs à l'épreuve du
feu de couche réseau ont de plus en plus devenu `` le ''averti d'information
passant par eux, et les murs à l'épreuve du feu de couche application ont de
plus en plus devenu `` le ''de niveau bas et transparents. Le résultat de
fin est que maintenant il y a des systèmes rapides de paquet-criblage qui
notation et données d'audit comme ils traversent le système. De plus en
plus, les murs à l'épreuve du feu (réseau et couche application) incorporent
le chiffrage de sorte qu'ils puissent protéger le trafic passant entre eux
au-dessus de l'Internet. Des murs à l'épreuve du feu avec le chiffrage bout
à bout peuvent être employés par des organismes avec les points multiples de
connectivité d'Internet pour employer l'Internet comme `` ''privé d'épine
dorsale sans s'inquiéter de leurs données ou mots de passe étant reniflés.
(IPSEC, décrit dans la section 2.6, joue un rôle de plus en plus
significatif dans la construction de tels réseaux privés virtuels.)



3.3 Quels sont des serveurs de procuration et comment elles
travaillent ?
Un proxy server (parfois désigné sous le nom d'un passage ou d'un
expéditeur d'application) est une application qui négocie le trafic entre un
réseau protégé et l'Internet. Des procurations sont souvent employées au
lieu des commandes de trafic couteau-basées, pour empêcher le trafic de
passer directement entre les réseaux. Beaucoup de procurations contiennent
des frais supplémentaires notant ou les soutiennent pour l'authentification
d'utilisateur. Puisque les procurations doivent `` comprendre le ''le
protocole d'application étant employé, elles peuvent également mettre en
application la sécurité spécifique de protocole (par exemple, une
procuration de ftp pourrait être configurable pour permettre le ftp entrant
et pour bloquer le ftp sortant).

Les serveurs de procuration sont détail d'application. Afin de
soutenir un nouveau protocole par l'intermédiaire d'une procuration, une
procuration doit être développée pour elle. Un ensemble populaire de
serveurs de procuration est la Trousse à outils de mur à l'épreuve du feu
d'Internet de TIS (``FWTK '') qui inclut des procurations pour le telnet, le
rlogin, le ftp, les nouvelles de système, de HTTP/Web, et de NNTP/Usenet de
fenêtre de X. Les CHAUSSETTES est un système générique de procuration qui
peut être compilé dans une application de client-côté pour lui faire le
travail par un mur à l'épreuve du feu. Son avantage est qu'il est facile
d'employer, mais il ne soutient pas l'addition des crochets
d'authentification ou ne proclame pas un protocole notation spécifique. Pour
plus d'information sur des CHAUSSETTES, voir le http://www.socks.nec.com/.



3.4 Quels sont quelques outils bon marché de criblage de paquet ?
Les outils de sécurité d'université du Texas A&M incluent le logiciel
pour les couteaux mettants en application de criblage. Karlbridge est un kit
PC-BASÉ de screening router fourni par
ftp://ftp.net.ohio-state.edu/pub/kbridge/.

Il y a de nombreux écrans de paquet de grain-niveau, y compris l'ipf,
l'ipfw, les ipchains, le pf, et l'ipfwadm. Typiquement, ceux-ci sont inclus
dans diverses réalisations libres d'Unix, telles que FreeBSD, OpenBSD,
NetBSD, et Linux. Vous pourriez également trouver ces outils disponibles
dans votre exécution commerciale d'Unix.

Si vous êtes disposé à obtenir à vos mains peu un sale, il est
complètement possible de construire un mur à l'épreuve du feu bloqué et
entièrement fonctionnel pour le prix du matériel et une partie de votre
temps.



3.5 Quelles sont quelques règles de filtrage raisonnables pour un
écran grain-basé de paquet ?
Cet exemple est écrit spécifiquement pour l'ipfwadm sur Linux, mais
les principes (et même une grande partie de la syntaxe) s'applique pour
d'autres interfaces de grain pour le criblage de paquet sur `` les systèmes
ouverts d'Unix de ''de source.

Il y a quatre catégories de base couvertes par les règles d'ipfwadm :


- A
Comptabilité de Paquet
- I
Mur à l'épreuve du feu d'entrée
- O
Mur à l'épreuve du feu de rendement
- F
Mur à l'épreuve du feu de expédition
l'ipfwadm a également masquerading (-M) des possibilités. Pour plus
d'information en des commutateurs et des options, voyez la page d'homme
d'ipfwadm.


3.5.1 Exécution
Ici, notre organisation emploie (RFC 1918 ) un réseau privé
192.168.1.0 de la classe C. Notre ISP nous a assigné l'adresse
201.123.102.32 pour l'interface externe de notre passage et 201.123.102.33
pour notre mail server externe. La politique d'organisation indique :


Permettez tous les raccordements sortants de TCP
Permettez le smtp entrant et le DNS au mail server externe
Bloquez tout autre trafic
Le bloc suivant de commandes peut être placé dans un dossier
d'initialisation de système (peut-être rc.local sur des systèmes d'Unix).


l'ipfwadm - F - l'ipfwadm de f - F - p nient l'ipfwadm - F
- I m - b - P tcp - S 0.0.0.0/0 1024:65535 - l'ipfwadm 25 - F de D
201.123.102.33 - I m - b - P tcp - S 0.0.0.0/0 1024:65535 - l'ipfwadm
53 - F de D 201.123.102.33 - I m - b - UDP de P - S 0.0.0.0/0
1024:65535 - l'ipfwadm 53 - F de D 201.123.102.33 - un m - S
192.168.1.0/24 - D 0.0.0.0/0 - W eth0 /sbin/route s'ajoutent -
accueillent 201.123.102.33 gws 192.168.1.2


3.5.2 Explication
La ligne une rince (-f) tout l'expédition (-F) des règles.
Ligne deux ensembles la politique de défaut (-p) pour nier.
Les lignes trois à cinq sont des règles entrées (-i) dans le format
suivant :
ipfwadm - F (vers l'avant) - I (entrée) m (masq.) - protocol)[protocol
de b (bi-directionnel ) - P ]- S (source)[subnet/mask ] [ lançant des
ports ]- D (destination)[subnet/mask][port ]


La ligne six appose (-a) une règle qui permet tout l'IP interne
adresse dehors à toutes les adresses externes sur tous les protocoles, tous
les ports.

La ligne huit ajoute un itinéraire de sorte que le trafic allant à
201.123.102.33 soit dirigé vers l'adresse interne 192.168.1.2.


3.6 Quelles sont quelques règles de filtrage raisonnables pour un
Cisco ?
L'exemple sur le schéma 4 montre une configuration possible pour
l'usage du Cisco en tant que couteau de filtrage. C'est un échantillon qui
montre l'exécution de en tant que politique spécifique. Votre politique
changera assurément.


Le schéma 4 : Couteau de Filtrage De Paquet

Dans cet exemple, une compagnie a l'adresse de réseau de la classe C
195.55.55.0. Le réseau de compagnie est relié à l'Internet par
l'intermédiaire du fournisseur de service d'IP. La politique de compagnie
est de permettre à tout le monde l'accès aux services d'Internet, ainsi tous
les raccordements sortants sont acceptés. Tous les raccordements entrants
passent par le `` mailhost ''. Le courrier et le DNS sont seulement des
services entrants.


3.6.1 Exécution

Permettez tout le TCP-connections sortant
Permettez le smtp entrant et le DNS au mailhost
Permettez les raccordements de données entrants de ftp au haut port de
TCP (1024)
Essayez de protéger les services qui vivent sur des nombres gauches
élevés
Seulement des paquets entrants de l'Internet sont signés cette
configuration. Des règles sont examinées dans l'ordre et s'arrêtent quand la
première allumette est trouvée. Il y a un implicite nient la règle à la fin
d'une liste d'accès qui nie tout. Cette liste d'accès d'IP suppose que vous
courez IOS v de Cisco. 10.3 ou plus tard.


aucun IP source-ne conduisent ! Ethernet d'interface
0 IP address 195.55.55.1 qu'aucun IP diriger-n'a annoncés ! la
publication périodique 0 d'interface aucun IP diriger-a annoncé
l'accès-groupe 101 d'IP po ! l'accès-liste 101 nient IP
127.0.0.0 que 0.255.255.255 n'importe quelle accès-liste 101 nient IP
10.0.0.0 0.255.255.255 n'importe quelle accès-liste 101 nient IP
172.16.0.0 0.15.255.255 n'importe quelle accès-liste 101 nient IP
192.168.0.0 0.0.255.255 n'importe quelle accès-liste 101 refusent à
IP n'importe quels 0.0.0.255 255.255.255.0 l'accès-liste 101 refusent
à IP n'importe quels 0.0.0.0 255.255.255.0 ! l'accès-liste 101
refusent à IP 195.55.55.0 0.0.0.255 accès-liste 101 tous de tcp de
laiss établis ! laiss tcp de l'accès-liste 101 toute laiss
tcp de l'accès-liste 101 de smtp d'eq du centre serveur 195.55.55.10
tout UDP de laiss de l'accès-liste 101 de l'eq DNS du centre serveur
195.55.55.10 tout eq DNS du centre serveur 192.55.55.10 !
l'accès-liste 101 refusent à tcp n'importe quelle n'importe
quelle gamme 6000 6003 que l'accès-liste 101 refusent à tcp
n'importe quelle n'importe quelle gamme 2000 2003 accès-listes 101
nient le tcp n'importe quelle n'importe quelle accès-liste 2049 d'eq
101 refusez UDP à n'importe quel n'importe quel eq 2049 ! laiss
tcp de l'accès-liste 101 tous 20 tout gt 1024 ! ICMP tout quel
de laiss de l'accès-liste 101 ! ligne 0 4 accès-classes vty 2
du RO 2 de la communauté FOOBAR de SNMP-SERVEUR dans la laiss
195.55.55.0 0.0.0.255 de l'accès-liste 2


3.6.2 Explications
Laissez tomber tous les paquets source-conduits. Le cheminement de
source peut être employé pour la mystification d'adresse.
La baisse a dirigé les émissions, qui sont employées dans des attaques
de smurf.
Si un paquet entrant prétend être d'un filet local, d'un réseau de
réalimentation, ou d'un réseau privé, laissez- tomberle.
Tous les paquets qui font partie de TCP-connections déjà établi
peuvent passer à travers sans vérifier plus loin.
Tous les raccordements à de bas nombres gauches sont bloqués excepté
le smtp et le DNS.
Bloquez tous les services qui détectent à l'oreille des raccordements
de TCP sur des nombres gauches élevés. X11 (port 6000+), OpenWindows (port
2000+) sont quelques candidats. NFS (port 2049) court le UDP habituellement
fini, mais il peut être couru au-dessus du TCP, ainsi vous devrait le
bloquer.
Des raccordements entrants du port 20 dans des nombres gauches élevés
sont censés être des raccordements de données de ftp.
l'Accès-liste 2 limite l'accès au couteau lui-même (telnet et SNMP)
Tout le trafic de UDP est bloqué pour protéger des services de RPC

3.6.3 Imperfections

Vous ne pouvez pas imposer des politiques fortes d'accès avec des
listes d'accès de couteau. Les utilisateurs peuvent facilement installer des
backdoors sur leurs systèmes pour n'obtenir à excédent `` aucun ''entrant de
telnet ou `` aucune règle du ''X11. En outre les biscuits installent des
backdoors de telnet sur des systèmes où ils se cassent dedans.

Vous pouvez jamais être sûr quels services vous avez l'écoute des
raccordements sur des nombres gauches élevés. (vous ne pouvez pas être sûr
de quels services vous avez l'écoute des raccordements sur de bas nombres
gauches, l'un ou l'autre, particulièrement dans les environnements fortement
décentralisés où les gens peuvent mettre leurs propres machines sur le
réseau ou où ils peuvent obtenir l'accès administratif à leurs propres
machines.)

La vérification du port de source sur les raccordements de données
entrants de ftp est une méthode faible de sécurité. Elle casse également
l'accès à quelques emplacements de ftp. Elle se sert du service plus
difficile pour des utilisateurs sans empêcher de mauvais types de balayer
vos systèmes.
La version 9.21 de Cisco d'utilisation au moins ainsi vous pouvez
filtrer les paquets entrants et vérifier la mystification d'adresse. Il vaut
encore mieux d'employer 10.3, où vous obtenez quelques dispositifs
supplémentaires (comme le filtrage sur le port de source) et quelques
améliorations sur la syntaxe de filtre.

Vous avez toujours quelques manières de rendre votre installation plus
forte. Bloquez tout le TCP-connections entrant et dites les utilisateurs
d'employer les clients passif-Ftp. Vous pouvez également bloquer l'ICMP
sortant écho-répondez et les messages destination-inaccessibles pour cacher
votre réseau et pour empêcher l'utilisation des modules de balayage de
réseau. L'utilisation de Cisco.com d'avoir des archives des exemples pour
construire des murs à l'épreuve du feu à l'aide des couteaux de Cisco, mais
lui ne semble plus être en ligne. Il y a quelques notes sur des listes de
contrôle d'accès de Cisco, au moins, à
ftp://ftp.cisco.com/pub/mibs/app_notes/access-lists.



3.7 Quelles sont les ressources critiques dans un mur à l'épreuve du
feu ?
Il est important de comprendre les ressources critiques de votre
architecture de mur à l'épreuve du feu, ainsi quand vous faites la
planification de capacité, les optimisations d'exécution, etc., vous savez
exactement de ce que vous devez faire, et de combien vous avez besoin pour
le faire afin d'obtenir le résultat désiré.

Ce qui exactement sont les ressources critiques du mur à l'épreuve du
feu tend à changer de l'emplacement à l'emplacement, selon la sorte du
trafic qui charge le système. Certains pensent qu'elles pourront
automatiquement augmenter un flux de données de leur mur à l'épreuve du feu
par la mise dans une boîte avec une unité centrale de traitement plus
rapide, ou une unité centrale de traitement différente, quand ce n'est pas
nécessairement le cas. Potentiellement, ceci pourrait être un grand
gaspillage d'argent qui ne fait rien résoudre le problème actuel ou fournir
le scalability prévu.

Sur les systèmes occupés, la mémoire est extrêmement importante. Vous
devez avoir assez de RAM pour soutenir chaque exemple de chaque programme
nécessaire pour entretenir la charge placée sur cette machine. Autrement, la
permutation commencera et la productivité s'arrêtera. La permutation légère
n'est pas habituellement beaucoup d'un problème, mais si l'espace d'échange
d'un système commence à devenir occupé, alors d'elle est habituellement
l'heure pour plus de RAM. Un système qui permute fortement est souvent
relativement facile à pousser au-dessus du bord dans une attaque de
démenti-de-service, ou tombe simplement derrière en traitant la charge
placée là-dessus. C'est où le long email retarde le début.

Au delà de la condition du système pour la mémoire, il est utile de
comprendre que les différents services emploient différentes ressources de
système. Ainsi la configuration que vous prenez pour votre système devrait
être indicative du genre de charge que vous projetez entretenir. Un
processeur de 1400 mégahertz ne va pas vous faire beaucoup de bon si tout
que vous faites est Netnews et courrier, et essaye de le faire sur un disque
d'ide avec un contrôleur d'ISA.





Tableau 1 : Ressources critiques pour des services de mur à l'épreuve
du feu Service Ressource Critique
Email Disque I/O
Netnews Disque I/O
Web Exécution de Douille d'OS de Centre serveur
Cheminement d'IP Exécution de Douille d'OS de Centre serveur
Cachette de Web Exécution de Douille d'OS de Centre serveur, Disque
I/O







3.8 Quel est un DMZ, et pourquoi je veut un ?
le `` ''de DMZ est une abréviation pour `` la zone démilitarisée ''.
Dans le contexte des murs à l'épreuve du feu, ceci se rapporte à une partie
du réseau qui n'est ni une partie du réseau interne ni partie directement de
l'Internet. Typiquement, c'est le secteur entre votre couteau d'accès
d'Internet et votre bastion host, bien qu'il puisse être entre deux
composants d'politique-exécution quelconques de votre architecture.

Un DMZ peut être créé en mettant des listes de contrôle d'accès sur
votre couteau d'accès. Ceci réduit au minimum l'exposition des centres
serveurs sur votre LAN externe par des services seulement identifiés et
contrôlés de laisser sur ces centres serveurs pour être accessible par des
centres serveurs sur l'Internet. Beaucoup de murs à l'épreuve du feu
commerciaux font simplement une troisième interface au loin du bastion host
et la marquent le DMZ, le point est que le réseau n'est ni ''ni `` extérieur
'd'`` intérieur '.

Par exemple, un web server fonctionnant sur le NT pourrait être
vulnérable à un certain nombre d'attaques de démenti-de-service contre des
services tels que le RPC, le NetBIOS et le SMB. Ces services ne sont pas
exigés pour l'opération d'un web server, bloquant ainsi des raccordements de
TCP aux ports 135, 137, 138, et 139 sur ce centre serveur réduiront
l'exposition à une attaque de démenti-de-service. En fait, si vous bloquez
tout mais le trafic de HTTP à ce centre serveur, un attaquant aura seulement
un service à attaquer.

Ceci illustre un principe important : jamais les attaquants d'offre
davantage à travailler avec qu'est absolument nécessaire pour soutenir les
services vous veulent offrir le

Back to Top
FAQ de mur à l'épreuve du feu en français partie 3
3.9 Comment est-ce que je pourrais augmenter la sécurité et le
scalability de mon DMZ ?
Une approche commune pour un attaquant est de se casser en centre
serveur qui est vulnérable à l'attaque, et rapports de confiance d'exploit
entre le centre serveur vulnérable et les cibles plus intéressantes.

Si vous courez un certain nombre de services qui ont différents
niveaux de sécurité, vous pourriez vouloir considérer casser votre DMZ en
plusieurs `` zones de sécurité '. Ceci peut être fait en ayant un certain
nombre de différents réseaux dans le DMZ. Par exemple, le couteau d'accès a
pu alimenter deux Ethernets, tous les deux protégés par ACLs, et donc dans
le DMZ.

Sur un de l'Ethernets, vous pourriez avoir des hôtes dont le but est
d'entretenir le besoin de votre organisation de connectivité d'Internet.
Ceux-ci transmettront par relais probablement le courrier, les nouvelles, et
le centre serveur DNS. Sur l'autre Ethernet pourraient être votre server(s)
d'enchaînement et d'autres centres serveurs qui fournissent des services au
profit des utilisateurs d'Internet.

Dans beaucoup d'organismes, des services pour des utilisateurs
d'Internet tendent à être moins soigneusement gardés et sont faire des
choses peu sûres. (par exemple, dans le cas d'un web server, unauthenticated
et untrusted des utilisateurs pourrait exécuter le cgi, le PHP, ou d'autres
programmes exécutables. Ceci pourrait être raisonnable pour votre web
server, mais apporte avec lui un certain ensemble de risques qui doivent
être contrôlés. Il est probable ces services sont trop risqué que une
organisation les coure sur un bastion host, où glissez-vers le haut peut
avoir comme conséquence l'échec complet des mécanismes de sécurité.)

En remontant des centres serveurs avec les niveaux semblables du
risque sur des réseaux dans le DMZ, vous pouvez aider à réduire au minimum
l'effet d'un rodage à votre emplacement. Si quelqu'un pénètre par effraction
dans votre web server en exploitant un certain bogue dans votre web server,
ils ne pourront pas l'employer comme point de lancement pour se casser en
votre réseau privé si les serveurs d'enchaînement sont sur un LAN séparé des
centres serveurs de bastion, et vous n'avez aucun rapport de confiance entre
le web server et le bastion host.

Maintenant, maintenez dans l'esprit que c'est Ethernet. Si quelqu'un
pénètre par effraction dans votre web server, et votre bastion host est sur
le même Ethernet, un attaquant peut installer un renifleur sur votre web
server, et observe le trafic à et de votre bastion host. Ceci pourrait
indiquer les choses qui peuvent être employées pour se casser en bastion
host et pour accéder au réseau interne. (l'Ethernet commuté peut réduire
votre exposition à ce genre de problème, mais ne l'éliminera pas.)

Des services se dédoublants vers le haut non seulement par le centre
serveur, mais le réseau, et en limitant le niveau de la confiance entre les
centres serveurs sur ces réseaux, vous pouvez considérablement réduire la
probabilité d'un rodage sur un centre serveur étant employé pour se casser
en autre. Succinctement indiqué : la rupture en web server dans ce cas-ci ne
le facilitera pas pour se casser en bastion host.

Vous pouvez également augmenter le scalability de votre architecture
en plaçant des centres serveurs sur différents réseaux. Plus il y a de
partager la largeur de bande disponible machines, plus chacun obtiendra
largeur de bande.



3.10 Quel est un seul point de ` d'échec ', et comment j'évite d'avoir
un ?
Une architecture dont la sécurité s'articule sur un mécanisme a un
seul point d'échec. Le logiciel qui court des centres serveurs de bastion a
des bogues. Les applications ont des bogues. Le logiciel qui commande des
couteaux a des bogues. Il se comprend d'employer tous ces composants pour
établir un réseau solidement conçu, et pour les employer dans des manières
superflues.

Si votre architecture de mur à l'épreuve du feu est un sous-filet
examiné, vous avez deux couteaux de filtrage de paquet et un bastion host.
(voir la question 3.2 de cette section.) Votre couteau d'accès d'Internet ne
permettra pas au trafic de l'Internet d'entrer toute la manière dans votre
réseau privé. Cependant, si vous n'imposez pas que règle avec aucun autre
mécanisme sur le couteau de bastion host et/ou de bobine, seulement un
composant de votre architecture doit échouer ou être compromis afin
d'obtenir à l'intérieur. D'autre part, si vous avez une règle superflue sur
le bastion host, et encore sur le couteau de bobine, un attaquant devra
défaire trois mécanismes.

De plus, si le bastion host ou le couteau de bobine doit appeler sa
règle pour bloquer l'accès extérieur au réseau interne, vous pourriez
vouloir le faire déclencher une alarme d'une certaine sorte, puisque vous
savez que quelqu'un a obtenu par votre couteau d'accès.



3.11 Comment est-ce que je peux bloquer toute la mauvaise substance ?
Pour des murs à l'épreuve du feu où l'emphase est sur la sécurité au
lieu de la connectivité, vous devriez considérer bloquer tout par défaut, et
permettre seulement spécifiquement de quels services vous avez besoin sur
une base de cas-par-cas.

Si vous bloquez tout, excepté un ensemble spécifique de services, puis
vous avez déjà facilité votre travail beaucoup. Au lieu de devoir inquiéter
de chaque problème de sécurité avec tout le produit et le service autour,
vous devez seulement s'inquiéter de chaque problème de sécurité avec un
ensemble spécifique de services et de produits.

Avant la rotation à un service, vous devriez considérer un couple des
questions :


Le protocole pour ce produit est-il un protocole bien connu et édité ?
Le service d'application est-il ce protocole disponible pour
l'inspection publique de son exécution ?
À quel point est-il connu le service et le produit ?
Comment permettant ce service change l'architecture de mur à l'épreuve
du feu ? Est-ce que un attaquant verra des choses différemment ?
Pourrait-elle être exploitée pour atteindre mon réseau interne, ou pour
changer des choses sur des centres serveurs dans mon DMZ ?
Quand vu les questions ci-dessus, maintenez le suivant dans l'esprit :


la `` sécurité par le ''d'obscurité n'est aucune sécurité du tout. Des
protocoles non publiés ont été examinés par de mauvais types et défaits.
En dépit de ce que les vendeurs disent, non chaque protocole ou
service est conçu avec la sécurité à l'esprit. En fait, le nombre qui sont
est très peu.
Même dans les cas où la sécurité est une considération, non tous les
organismes ont le personnel compétent de sécurité. Parmi ceux qui pas , pas
tous sont disposés à introduire un conseiller compétent dans le projet. Le
résultat de fin est celui autrement-compétent, les réalisateurs bien-prévus
peut concevoir les systèmes peu sûrs.
Moins un fournisseur est disposé à vous dire qu'à son sujet comment
leur système fonctionne vraiment, plus plus probable est que les problèmes
de sécurité (ou autre) existent. Seulement les fournisseurs avec quelque
chose se cacher ont une raison de cacher leurs conceptions et réalisations
[2].


3.12 Comment est-ce que je peux limiter l'accès d'enchaînement ainsi
les utilisateurs ne peuvent-ils pas regarder des emplacements indépendants
pour travailler ?
Il y a quelques années, quelqu'un a eu l'idée que c'est une bonne idée
de bloquer les `` mauvais emplacements d'enchaînement de '', c.-à-d., ceux
qui contiennent le matériel ce la compagnie regarde `` inadéquat ''. L'idée
avait augmenté dans la popularité, mais il y a plusieurs choses à considérer
en pensant à mettre en application de telles commandes dans votre mur à
l'épreuve du feu.


Il n'est pas possible de bloquer pratiquement tout qui un employeur
considère `` inadéquat ''. l'Internet est plein de chaque sorte de matériel.
Le blocage d'une source réorientera seulement le trafic à une autre source
d'un tel matériel, ou faites figurer quelqu'un une manière autour du bloc.
La plupart des organismes n'ont pas une norme pour juger la convenance
du matériel que leurs employés apportent pour fonctionner, par exemple, des
livres et des magasins. Inspectez-vous chacun serviette pour assurer `` le
''matériel inadéquat chaque jour ? Si vous pas , alors pourquoi
inspecteriez-vous chaque paquet pour assurer `` le matériel inadéquat ''?
Toutes les décisions le long de ces lignes dans une telle organisation
seront arbitraires. Essayer de prendre une mesure disciplinaire contre un
employé où la seule norme est arbitraire typiquement n'est pas sage, pour
des raisons bien au delà de la portée de ce document.
Il est en général facile éviter les produits qui effectuent
l'emplacement-blocage, commerciaux et autrement. Hostnames peut être récrit
comme adresses d'IP. Des adresses d'IP peuvent être écrites comme valeur de
32 bits de nombre entier, ou en tant que quatre nombres entiers de 8 bits
(la forme la plus commune). D'autres possibilités existent, aussi bien. Les
raccordements peuvent être proxied. Des pages Web peuvent être cherchées par
l'intermédiaire de l'email. Vous ne pouvez pas les bloquer toutes. L'effort
que vous dépenserez l'essai de mettre en application et contrôler de telles
commandes dépassera presque certainement de loin n'importe quel niveau de
commande de dommages que vous espérez avoir.
Le règle-de-pouce à se rappeler ici est que vous ne pouvez pas
résoudre des problèmes sociaux avec la technologie. S'il y a un problème
avec quelqu'un qui va `` à un site Web inadéquat de '', c'est parce que
quelqu'un d'autre l'a vu et a été offensé par ce qu'il a vu, ou parce que la
productivité de cette personne est au-dessous des espérances. Dans l'un ou
l'autre cas, tels sont des sujets pour le service du personnel, pas
l'administrateur de mur à l'épreuve du feu.



4 Diverses Attaques


4.1 Quel est le trafic conduit par source et pourquoi est il une
menace ?
Normalement, l'itinéraire que un paquet prend de sa source à sa
destination est déterminé par les couteaux entre la source et la
destination. Le paquet lui-même indique seulement où il veut disparaître
(l'adresse de destination), et rien au sujet de la façon dont il compte y
arriver.

Il y a une manière facultative pour l'expéditeur d'un paquet (la
source) d'inclure l'information dans le paquet qui indique l'itinéraire que
le paquet devrait prendre pour obtenir à sa destination ; ainsi le ``
cheminement nommé de source ''. Pour un mur à l'épreuve du feu, le
cheminement de source est remarquable, puisqu'un attaquant peut produire du
trafic prétendant être ''d'intérieur de système `` le mur à l'épreuve du
feu. En général, un tel trafic ne conduirait pas au mur à l'épreuve du feu
correctement, mais avec l'option de cheminement de source, tous les couteaux
entre la machine de l'attaquant et la cible renverront le trafic le long du
chemin renversé de l'itinéraire de source. Mettre en application une telle
attaque est tout à fait facile ; ainsi les constructeurs de mur à l'épreuve
du feu ne devraient pas l'escompter comme peu susceptible de se produire.

Dans la pratique, le cheminement de source est très peu employé. En
fait, généralement l'utilisation légitime principale est dans des problèmes
de réseau de correction ou conduite des liens spécifiques d'excédent du
trafic pour la commande de congestion pour des situations spécialisées. En
construisant un mur à l'épreuve du feu, le cheminement de source devrait
être bloqué à un certain point. La plupart des couteaux commerciaux
incorporent la capacité de bloquer le cheminement de source spécifiquement,
et beaucoup de versions d'Unix qui pourraient être employées pour établir
des centres serveurs de bastion de mur à l'épreuve du feu ont la capacité de
neutraliser ou ignorer le trafic conduit par source.



4.2 Quel est ICMP réoriente et réoriente des bombes ?
Un ICMP réorientent dit le système réceptif de dépasser quelque chose
dans sa table de cheminement. Il est légitimement employé par des couteaux
pour indiquer à des centres serveurs que le centre serveur emploie un
non-optimal ou l'itinéraire ancien à une destination particulière, c.-à-d.,
le centre serveur l'envoie au couteau faux. Le couteau faux envoie le dos de
centre serveur que un ICMP réorientent le paquet qui indique au centre
serveur ce qu'être l'itinéraire correct devrait. Si vous pouvez forger
l'ICMP réorientez les paquets, et si votre centre serveur de cible prête
l'attention à eux, vous pouvez changer les tables de cheminement sur le
centre serveur et renverser probablement le degré de sécurité du centre
serveur en faisant couler le trafic par l'intermédiaire d'un chemin que le
directeur de réseau n'a pas prévu. L'ICMP réoriente peut également être
utilisé pour le démenti des attaques de service, où un centre serveur est
envoyé à un itinéraire qui le perd connectivité, ou l'est envoyé à un paquet
inaccessible de réseau d'ICMP indiquant qu'il peut plus n'accéder à un
réseau particulier.

Beaucoup de constructeurs de mur à l'épreuve du feu examinent le
trafic d'ICMP de leur réseau, depuis lui limite la capacité des étrangers de
cingler des centres serveurs, ou modifie leurs tables de cheminement.

Avant que vous décidiez de bloquer tous les paquets d'ICMP, vous
devriez vous rendre compte de la façon dont le protocole de TCP `` ''de
découverte de MTU de chemin, pour vous assurer que vous ne cassez pas la
connectivité à d'autres emplacements. Si vous ne pouvez pas sans risque la
bloquer partout, vous pouvez considérer permettre les types choisis d'ICMP
aux dispositifs de conduite choisis. Si vous ne le bloquez pas, vous devriez
au moins vous assurer que vos couteaux et centres serveurs ne répondent pas
aux paquets de cinglement d'émission.



4.3 Que diriez-vous du démenti du service ?
Le démenti du service est quand quelqu'un décide de rendre votre
réseau ou mur à l'épreuve du feu inutile par la perturbation de lui, se
brisant le, bloquant lui, ou l'inondation il. Le problème avec le démenti du
service sur l'Internet est qu'il est impossible à empêcher. La raison doit
faire avec la nature distribuée du réseau : chaque noeud de réseau est relié
par l'intermédiaire d'autres réseaux qui se relient à leur tour à d'autres
réseaux, etc... Un administrateur de mur à l'épreuve du feu ou une ISP a
seulement la commande de quelques uns des éléments locaux dans l'extension.
Un attaquant peut toujours ''ascendant perturber raccordement `` d'où la
victime le commande. En d'autres termes, si quelqu'un voulait prendre un
réseau outre de l'air, il pourrait le faire ou en prenant le réseau outre de
l'air, ou en fallant les réseaux il se relie à outre de l'air, ad infinitum.
Il y a beaucoup, beaucoup, manières que quelqu'un peut nier le service,
s'étendant du complexe à la brute-force insignifiante. Si vous considérez en
utilisant l'Internet pour un service qui est absolument temps ou mission
critique, vous devriez considérer votre position de repli au cas où le
réseau serait en baisse ou endommagé.

Le service d'écho de UDP de TCP/IP's est trivialement maltraité pour
obtenir deux serveurs pour inonder un segment de réseau avec des paquets
d'écho. Vous devriez considérer commenter hors des entrées inutilisées dans
/etc/inetd.conf des centres serveurs d'Unix, s'ajoutant no ip small-servers
aux couteaux de Cisco, ou de l'équivalent pour vos composants.



4.4 Quel suis-je quelques attaques communes, et comment peut protéger
mon système contre eux ?
Chaque emplacement est peu un différent de chaque autre en termes de
quelles attaques sont susceptibles d'être employées contre lui. Quelques
thèmes se reproduisants surgissent, cependant.


4.4.1 Serveur de Smtp Détournant (Relais Non autorisé)
C'est où un inondateur prendra beaucoup de milliers de copies d'un
message et les enverra à une liste énorme d'adresses d'email. Puisque ces
listes sont souvent si mauvaises, et afin d'augmenter la vitesse de
l'opération pour l'inondateur, beaucoup ont recouru à envoyer simplement
tout leur courrier à un serveur de smtp qui prendra soin de fournir
réellement le courrier.

Naturellement, tous les rebonds, plaintes de Spam, courrier de haine,
et mauvais P.R. viennent pour l'emplacement qui a été employé comme relais.
Il y a un coût très vrai lié à ceci, la plupart du temps en payant des
personnes pour nettoyer le désordre après.

L'initiative 2 de sécurité de transportdu système1 d'empêchement
d'abusde courriermaintient une description complète du problème, et comment
configurer au sujet de chaque annonce sur la planète pour se protéger contre
cette attaque.


4.4.2 Exploitation des bogues dans les applications
Les diverses versions des serveurs d'enchaînement, des serveurs de
courrier, et de tout autre logiciel de service d'Internet contiennent les
bogues qui permettent aux utilisateurs à distance (d'Internet) de faire des
choses s'étendant de la commande de gain de la machine à faire cet accident
d'application et juste au sujet de tout dans l'intervalle.

L'exposition à ce risque peut être réduite en courant seulement des
services nécessaires, en continuant jusqu'ici sur des pièces rapportées, et
en employant les produits qui ont eu lieu autour d'un moment.


4.4.3 Bogues dans les logiciels d'exploitation
Encore, ceux-ci sont typiquement lancés par des utilisateurs à
distance. Les logiciels d'exploitation qui sont relativement nouveaux à la
gestion de réseau d'IP tendent à être plus problématiques, en tant que
logiciels d'exploitation plus mûrs ont eu le temps pour trouver et éliminer
leurs bogues. Un attaquant peut souvent faire la réinitialisation
d'équipement de cible sans interruption, se briser, perdre la capacité de
parler au réseau, ou de remplacer des dossiers sur la machine.

Ici, courant en tant que peu de services de logiciel d'exploitation en
tant qu'aide possible de bidon. En outre, avoir un filtre de paquet devant
le logiciel d'exploitation peut réduire l'exposition à un grand nombre de
ces types d'attaques.

Et, naturellement, chosing un logiciel d'exploitation stable aidera
ici aussi bien. En choisissant un OS, ne soyez pas dupé dans croire cela ``
plus le pricier, le meilleur ''. Les logiciels d'exploitation libres sont
souvent beaucoup plus robustes que leurs contre-parties commerciales



5 Comment I...


5.1 Est-ce que je veux vraiment laisser tout lequel mes utilisateurs
demandent ?
Il est entièrement possible que la réponse soit `` aucune ''. Chaque
emplacement a ses propres politiques au sujet de ce qui est et n'est pas
nécessaire, mais il est important de se rappeler qu'une grande partie du
travail d'être le portier d'une organisation est éducation. Les utilisateurs
veulent la vidéo coulante, causerie en temps réel, et pour pouvoir offrir
des services aux clients externes qui ont besoin de l'interaction avec les
bases de données de phase sur le réseau interne.

Cela ne signifie pas qu'un quelconque de ces choses peuvent être
faites sans présenter plus de risque à l'organisation que le `` ''supposé de
valeur de se diriger en bas de cette route vaut la peine. La plupart des
utilisateurs ne veulent pas mettre leur organisation en danger. Ils lisent
juste les chiffons commerciaux, voient des annonces, et ils veulent faire
ces choses, aussi. Il est important de regarder dans ce que c'est qu'elles
veulent vraiment faire, et pour les aider à comprendre comment elles
pourraient pouvoir accomplir leur vrai objectif d'une façon plus bloquée.

Vous ne serez pas toujours populaire, et vous pourriez même vous
trouver étant donné la direction pour faire quelque chose incroyablement
stupide, comme `` ouvrez juste le foo de ports par la barre ''. Si cela se
produit, ne vous inquiétez pas à son sujet. Il serait sage de garder tous
vos échanges sur un tel événement de sorte que quand un kiddie du manuscrit
12-year-old se casse dedans, vous puissiez au moins se séparer du désordre
de totalité.



5.2 Comment est-ce que je fais fonctionner le Web par mon mur à
l'épreuve du feu ?
Il y a trois manières de le faire.


Permettez `` les raccordements établis de ''dehors par l'intermédiaire
d'un couteau, si vous utilisez des couteaux de criblage.
Employez un web client qui soutient des CHAUSSETTES, et courez les
CHAUSSETTES sur votre bastion host.
Courez un certain genre de web server procuration-capable sur le
bastion host. Quelques options incluent le calmar3, l'Apache4, la
procuration 5de Netscape, et le HTTP-GW de la trousse à outils de mur à
l'épreuve du feu de TIS. Les la plupart de ces derniers de bidon procuration
également d'autres protocoles (tels que le Gopher et le ftp), et peuvent
cacher les objets cherchés, qui auront également typiquement comme
conséquence une poussée d'exécution pour les utilisateurs, et l'utilisation
plus efficace de votre raccordement à l'Internet. Essentiellement tous les
clients d'enchaînement (Mozilla, Internet Explorer, Lynx, etc...) ayez
l'appui de proxy server établi directement dans eux.


5.3 Comment est-ce que je fais fonctionner le SSL par le mur à
l'épreuve du feu ?
Le SSL est un protocole qui permet les raccordements bloqués à travers
l'Internet. Typiquement, le SSL est employé pour protéger le trafic de HTTP.
Cependant, d'autres protocoles (tels que le telnet) peuvent fonctionner
placé sur le SSL.

Permettre le SSL par votre mur à l'épreuve du feu peut être fait la
même manière que vous permettriez le trafic de HTTP, s'il est HTTP que vous
employez le SSL pour fixer, qui est habituellement vrai. La seule différence
est celle au lieu d'employer quelque chose qui transmettra par relais
simplement le HTTP, vous aura besoin de quelque chose qui peut percer un
tunnel le SSL. C'est un dispositif actuel sur la plupart des cachettes
d'objet d'enchaînement.

Vous pouvez découvrir plus au sujet du SSL de Netscape6.



5.4 Comment est-ce que je fais le travail de DNS avec un mur à
l'épreuve du feu ?
Quelques organismes veulent cacher des noms de DNS de l'extérieur.
Beaucoup d'experts ne pensent pas que cachant le DNS des noms est valable,
mais si la politique de site/corporate exige des noms se cachants de
domaine, c'est une approche qui est connue pour fonctionner. Une autre
raison que vous pouvez devoir cacher des noms de domaine est si vous avez un
système d'adressage non standard sur votre réseau interne. Dans ce cas, vous
n'avez aucun choix mais pour cacher ces adresses. Ne vous dupez pas dans la
pensée de cela si vos noms de DNS sont cachés qu'il ralentira un attaquant
en bas de beaucoup s'ils se cassent en votre mur à l'épreuve du feu. Des
informations sur ce qui est sur votre réseau sont trop facilement glanées de
la couche de gestion de réseau elle-même. Si vous voulez une démonstration
intéressante de ceci, cinglent l'adresse d'émission de sous-filet sur votre
LAN et puis font un `` arp - ''du ` a. Notez également cela des noms se
cachants dans le DNS n'adresse pas le problème ''disjoint de noms d'hôte ``
dehors dans des en-têtes de courrier, des articles de nouvelles, etc...

Cette approche est l'une de beaucoup, et est utile pour les organismes
qui souhaitent cacher leurs noms d'hôte de l'Internet. Le succès de cette
approche se trouve sur le fait que les clients de DNS sur une machine ne
doivent pas parler à un serveur de DNS sur cette même machine. En d'autres
termes, juste parce qu'il y a un serveur de DNS sur une machine, là n'est
rien mal avec (et il y a souvent des avantages) réorienter l'activité de
client du DNS de cette machine à un serveur de DNS sur une autre machine.

D'abord, vous installez un serveur de DNS sur le bastion host au
lequel le monde extérieur peut parler. Vous établissez ce serveur de sorte
qu'il prétende être bien fondé pour vos domaines. En fait, est tout ce
serveur sait ce que vous voulez que le monde extérieur sache ; les noms et
les adresses de vos passages, vos disques de MX de wildcard, et ainsi de
suite. C'est `` le serveur public de ''.

Puis, vous avez installé un serveur de DNS sur une machine interne. Ce
serveur prétend également être bien fondé pour vos domaines ; à la
différence du serveur public, celui-ci indique la vérité. C'est votre ``
nameserver normal de '', dans lequel vous mettez toute votre `` substance
normale du ''DNS. Vous placez également ce serveur jusqu'aux questions vers
l'avant qu'il ne peut pas résoudre au serveur public (employant `` ligne des
expéditeurs une 'dans /etc/named.boot sur une machine d'Unix, par exemple).

En conclusion, vous avez installé tous vos clients de DNS ( le dossier
de /etc/resolv.conf sur une boîte d'Unix, par exemple), y compris celle sur
la machine avec le serveur public, pour utiliser le serveur interne. C'est
la clef.

Un client interne posant des questions sur un centre serveur interne
demande le serveur interne, et obtient une réponse ; un client interne
posant des questions sur un centre serveur externe demande le serveur
interne, qui demande le serveur public, qui demande l'Internet, et la
réponse est transmise par relais en arrière. Un client sur le serveur public
travaille juste la même manière. Un client externe, cependant, posant des
questions sur un centre serveur interne récupère `` la réponse restreinte de
''du serveur public.

Cette approche suppose qu'il y a un mur à l'épreuve du feu de filtrage
de paquet entre ces deux serveurs qui leur permettront de parler le DNS
entre eux, mais limite autrement le DNS entre d'autres centres serveurs.

Un autre tour qui est utile dans cet arrangement doit utiliser des
disques de PTR de wildcard dans vos domaines d'IN-ADDR.ARPA. Ceux-ci causent
une consultation d'adresser-à-nom pour n'importe lequel de vos centres
serveurs non publics au retour quelque chose comme le ``
''d'unknown.YOUR.DOMAIN plutôt qu'une erreur. Ceci satisfait des
emplacements de Anonymous FTP comme ftp.uu.net qui insistent pour avoir un
nom pour les machines ils parlent à. Ceci peut échouer en parlant aux
emplacements qui font une contre-vérification de DNS dans laquelle le nom
d'hôte est assorti contre son adresse et vice versa.



5.5 Comment est-ce que je fais fonctionner le ftp par mon mur à
l'épreuve du feu ?
Généralement, faire fonctionner le ftp par le mur à l'épreuve du feu
est fait en utilisant un proxy server tel que le ftp-gw des trousses à
outils de mur à l'épreuve du feu ou en permettant les raccordements entrants
au réseau à une gamme gauche restreinte, et autrement limitant les
raccordements entrants en utilisant quelque chose comme `` des règles
établies de criblage de ''. Le client de ftp est alors modifié pour lier le
port de données à un port dans cette marge. Ceci nécessite de pouvoir
modifier l'application de client de ftp sur les centres serveurs internes.

Dans certains cas, si les téléchargements de ftp sont tous vous
souhaitez soutenir, vous pourriez vouloir considérer déclarer le ftp `` un
''mort de protocole et vous laissant les utilisateurs téléchargent des
dossiers par l'intermédiaire du Web à la place. L'interface utilisateur est
certainement plus gentille, et elle vient à bout le problème laid de port de
rappel de service. Si vous choisissez l'approche de FTP-via-Web, vos
utilisateurs ne pourront pas aux dossiers de ftp dehors, qui, selon ce que
vous essayez d'accomplir, peuvent être un problème.

Une approche différente est option de ''de PASV d'employer ftp `` pour
indiquer que le ftp server à distance devrait permettre au client de lancer
des raccordements. L'approche de PASV suppose que le ftp server sur les
appuis de système à distance qui opération. (Voir `` Le ''Mur à l'épreuve du
feu-Amical de Ftp [1].)

D'autres emplacements préfèrent établir les versions de client du
programme de ftp qui sont liées contre une bibliothèque de CHAUSSETTES.



5.6 Comment est-ce que je fais fonctionner le telnet par mon mur à
l'épreuve du feu ?
Le telnet est généralement soutenu en employant une procuration
d'application telle que le tn-gw des trousses à outils de mur à l'épreuve du
feu, ou en configurant simplement un couteau pour permettre les
raccordements sortants en utilisant quelque chose comme `` les règles
établies de criblage de ''. Les procurations d'application ont pu être sous
forme de procuration autonome fonctionnant sur le bastion host, ou sous
forme de serveur de CHAUSSETTES et de client modifié.



5.7 Comment est-ce que je fais fonctionner le doigt et le WHOIS par
mon mur à l'épreuve du feu ?
Beaucoup d'admins de mur à l'épreuve du feu permettent des
raccordements au port de doigt seulement des machines de confiance, sous
forme des lesquelles peut publier des demandes de doigt : doigt
(E-Mail Removed)in@firewall. Cette approche fonctionne seulement avec la
version standard d'Unix du doigt. L'accès de contrôle aux services et à les
limiter aux machines spécifiques est contrôlé en utilisant les tcp_wrappers
ou le netacl de la trousse à outils de mur à l'épreuve du feu. Cette
approche ne travaillera pas sur tous les systèmes, puisque quelques serveurs
de doigt ne permettent pas la digitation d'user@host@host.

Beaucoup de demandes d'arrivée de doigt de bloc d'emplacements d'une
variété de raisons, de premier être après des bogues de sécurité dans le
serveur de doigt (le ver d'Internet de Morris a rendu ces bogues célèbres)
et du risque d'information de propriété industrielle ou sensible étant
indiquée dans l'information du doigt de l'utilisateur. En général,
cependant, si vos utilisateurs sont accoutumés à mettre l'information de
propriété industrielle ou sensible dans leurs dossiers de plan, vous avez un
problème plus sérieux de sécurité que juste un mur à l'épreuve du feu peut
résoudre.



5.8 Comment est-ce que je fais le Gopher, archie, et d'autres services
fonctionnent-ils par mon mur à l'épreuve du feu ?
La majorité d'administrateurs de mur à l'épreuve du feu choisissent de
soutenir le Gopher et l'archie par des procurations d'enchaînement, au lieu
de directement. Procurations telles que les questions du converti
gopher/gopher+ du HTTP-GW des trousses à outils de mur à l'épreuve du feu
dans le HTML et vice versa. Pour soutenir l'archie et d'autres questions,
beaucoup d'emplacements se fondent sur les serveurs Internet-basés de
Web-to-archie, tels qu'archiePlex. La tendance des Web de faire tout sur le
ressembler d'Internet à un service d'enchaînement est une bénédiction et une
malédiction.

Il y a beaucoup de nouveaux services survenant constamment. Souvent
ils sont misdesigned ou ne sont pas conçus avec la sécurité à l'esprit, et
leurs concepteurs vous diront gaiement si vous voulez les employer que vous
le besoin laissait le port xxx par votre couteau. Malheureusement, pas
chacun peut faire cela, et ainsi il est difficile employer un certain nombre
de nouveaux jouets intéressants pour des personnes derrière des murs à
l'épreuve du feu. Les choses aiment RealAudio, qui exigent l'accès direct de
UDP, sont en particulier des exemples insignes. La chose pour considérer si
vous vous trouvez confronté à un de ces problèmes est de découvrir autant
que vous pouvez au sujet des risques de sécurité que le service peut
présenter, avant que vous le permettiez juste à travers. Il est tout à fait
possible le service n'a aucune implication de sécurité. Il est également
possible qu'il ait les trous non découverts que vous pourriez conduire un
camion à travers.



5.9 Quelles sont les issues au sujet de X11 par un mur à l'épreuve du
feu ?
Le système de X Windows est un système très utile, mais a
malheureusement quelques pailles de sécurité principales. Systèmes à
distance qui peuvent gagner ou charrier l'accès à l'affichage du X11 d'un
poste de travail peut surveiller les frappes qu'un utilisateur écrit, copies
de téléchargement des teneurs de leurs fenêtres, etc...

Tandis que des tentatives ont été faites de les surmonter (biscuit ``
magique 'par exemple, de MIT ') il est toujours entièrement trop facile pour
un attaquant d'interférer l'affichage du X11 d'un utilisateur. La plupart
des murs à l'épreuve du feu bloquent tout le trafic X11. Certains permettent
le trafic X11 par des procurations d'application telles que la procuration
du DEC CRL X11 (ftp crl.dec.com). La trousse à outils de mur à l'épreuve du
feu inclut une procuration pour X11, appelée x-gw, qu'un utilisateur peut
appeler par l'intermédiaire de la procuration de telnet, pour créer un
serveur X11 virtuel sur le mur à l'épreuve du feu. Quand des demandes sont
faites pour un raccordement X11 sur le serveur X11 virtuel, l'utilisateur
est présenté avec instantané leur demander s'il est CORRECT de permettre le
raccordement. Tandis que c'est peu un unaesthetic, il est entièrement en
accord avec le reste de X11.



5.10 Comment est-ce que je fais fonctionner RealAudio par mon mur à
l'épreuve du feu ?
RealNetworks maintient quelques informations sur la façon obtenir
RealAudio fonctionnant par votre mur à l'épreuve du feu7. Il serait
imprudent de faire tous les changements à votre mur à l'épreuve du feu sans
arrangement ce que les changements feront, exactement, et sachant quels
risques les nouveaux changements apporteront avec elles.



5.11 Comment est-ce que je fais mon acte de web server en tant que
d'entrée pour une base de données qui vit sur mon réseau privé ?
La meilleure manière de faire ceci est de permettre la connectivité
très limitée entre votre web server et votre serveur de base de données par
l'intermédiaire d'un protocole spécifique qui soutient seulement le niveau
de la fonctionnalité que vous allez employer. Permettre le SQL cru, ou toute
autre chose où des extractions faites sur commande pourraient être exécutées
par un attaquant n'est pas généralement une bonne idée.

Supposez qu'un attaquant va pouvoir se casser en votre web server, et
faites les questions de la même manière que le web server peut. Y a-t-il un
mécanisme pour extraire l'information sensible dont le web server n'a pas
besoin, comme l'information de carte de degré de solvabilité ? Un attaquant
peut-il publier un SQL choisi et extraire votre base de données de propriété
industrielle entière ?

`` des applications de ''d'E-commerce, comme tout autrement, mieux
sont conçues avec la sécurité à l'esprit de la terre vers le haut, au lieu
''supplémentaire d'avoir sécurité `` après coup. Passez en revue votre
architecture en critique, de la perspective d'un attaquant. Supposez que
l'attaquant sait tout au sujet de votre architecture. Demandez-vous
maintenant quels besoins d'être fait pour voler vos données, pour faire les
changements non autorisés, ou pour faire toute autre chose que vous ne
voulez pas fait. Vous pourriez constater que vous pouvez de manière
significative augmenter la sécurité sans fonctionnalité décroissante en
prenant quelque des décisions de conception et d'exécution.

Quelques idées pour que la façon manipule ceci :


Extrayez les données que vous avez besoin de la base de données de
façon régulière ainsi vous ne faites pas des questions contre la pleine base
de données, complète avec l'information que les attaquants trouveront
intéresser.
Considérablement limitez et apurez ce que vous admettez entre le web
server et la base de données.


5.12 Mais ma base de données a un web server intégré, et je veux
employer cela. Est-ce que je ne peux pas juste pousser un trou dans le mur à
l'épreuve du feu et percer un tunnel ce port ?
Si votre feu d'emplacementwall policy is sufficiently lax that you're
willing to manage the risk that someone will exploit a vulnerability in your
web server that will result in partial or complete exposure of your
database, then there isn't much preventing you from doing this.

However, in many organizations, the people who are responsible for
tying the web front end to the database back end simply do not have the
authority to take that responsibility. Further, if the information in the
database is about people, you might find yourself guilty of breaking a
number of laws if you haven't taken reasonable precautions to prevent the
system from being abused.

In general, this isn't a good idea. See question 5.11 for some ideas
on other ways to accomplish this objective.



5.13 How Do I Make IP Multicast Work With My Firewall?
IP multicast is a means of getting IP traffic from one host to a set
of hosts without using broadcasting; that is, instead of every host getting
the traffic, only those that want it will get it, without each having to
maintain a separate connection to the server. IP unicast is where one host
talks to another, multicast is where one host talks to a set of hosts, and
broadcast is where one host talks to all hosts.

The public Internet has a multicast backbone (``MBone'') where users
can engage in multicast traffic exchange. Common uses for the MBone are
streams of IETF meetings and similar such interaction. Getting one's own
network connected to the MBone will require that the upstream provider route
multicast traffic to and from your network. Additionally, your internal
network will have to support multicast routing.

The role of the firewall in multicast routing, conceptually, is no
different from its role in other traffic routing. That is, a policy that
identifies which multicast groups are and aren't allowed must be defined and
then a system of allowing that traffic according to policy must be devised.
Great detail on how exactly to do this is beyond the scope of this document.
Fortunately, RFC 2588 [4] discusses the subject in more detail. Unless your
firewall product supports some means of selective multicast forwarding or
you have the ability to put it in yourself, you might find forwarding
multicast traffic in a way consistent with your security policy to be a
bigger headache than it's worth.

Back to Top
FAQ de mur à l'épreuve du feu en français partie 4
6 ports de TCP et de UDP
par Mikael Olsson
Cette annexe commencera niveau assez à un `` de base de '', ainsi même
si les premiers points semblent naïvement art de l'auto-portrait-evident à
vous, vous pourriez immobile apprendre quelque chose de sauter en avant à
quelque chose plus tard dans le texte.



6.1 Quel est un port ?
`` un ''gauche est `` ''virtuel de fente dans votre pile de TCP et de
UDP qui est employée pour tracer un raccordement entre deux centres
serveurs, et également entre la couche de TCP/UDP et les applications
réelles fonctionnant sur les centres serveurs.

Ils numéro 0-65535, avec la gamme 0-1023 étant marqué comme `` le
''réservé ou `` privlileged le '', et le repos (1024-65535) comme ''ou ``
non privilégié `` dynamique ''.

Il y a fondamentalement deux utilisations pour des ports :


`` ''d'écoute sur un port.
Ceci est employé par des applications de serveur attendant des
utilisateurs pour se relier, pour obtenir à un certains `` ''de service, par
exemple HTTP bien connus (port de TCP 80), telnet port 23), DNS (de TCP
(port 53 de UDP et parfois de TCP).
Ouverture `` d'un port dynamique de ''.
Les deux côtés d'un besoin de raccordement de TCP d'être identifié par
des adresses d'IP et des nombres gauches. Par conséquent, quand vous voulez
`` reliez le ''à un processus de serveur, votre extrémité de la voie de
transmissions a besoin également `` d'un port ''. Ceci est fait en
choisissant un port au-dessus de 1024 sur votre machine qui n'est pas
actuellement en service par une autre voie de transmissions, et en
l'employant comme `` ''d'expéditeur dans le nouveau raccordement.
Des ports dynamiques peuvent également être employés en tant que ``
ports d'écoute de ''dans quelques applications, le plus notamment ftp.

Les ports dans la gamme 0-1023 sont presque toujours des ports de
serveur. Les ports dans la gamme 1024-65535 sont habituellement les ports
dynamiques (c.-à-d., ouvert dynamiquement quand vous vous reliez à un port
de serveur). Cependant, n'importe quel port peut être employé comme port de
serveur, et n'importe quel port peut être employé comme `` port sortant de
''.

Ainsi, pour l'additionner vers le haut, voici ce qui se produit dans
un raccordement de base :

À un certain point à temps, une application de serveur sur le centre
serveur 1.2.3.4 décide `` écoutent ''au port 80 (HTTP) de nouveaux
raccordements.
Vous (5.6.7. voulez surfer à 1.2.3.4, à port 80, et à votre
navigateur publie un appel de relier à lui.
L'appel de relier, se rendant compte qu'il n'a pas encore le nombre
gauche local, va chasse pour une. Le nombre gauche local est nécessaire
depuis quand les réponses reviennent une certaine heure à l'avenir, votre
pile de TCP/IP devra savoir à quelle application pour passer la réponse. Il
fait ceci en se rappelant quelle application emploie qui nombre gauche
local. (ceci est excessivement simplifié, aucunes flammes des programmeurs,
svp.)
Votre pile de TCP trouve un port dynamique inutilisé, habituellement
quelque part au-dessus de 1024. Supposons qu'elle trouve 1029.
Votre premier paquet est alors envoyé, de votre IP local, 5.6.7.8, le
port 1029, à 1.2.3.4, le port 80.
Le serveur répond avec un paquet de 1.2.3.4, le port 80, à vous,
5.6.7.8, le port 1029.
Ce procédé est réellement plus long que ceci, lu dessus pour une
explication plus détaillée de TCP relient des ordres.


6.2 Comment est-ce que je sais quelle application emploie quel port ?
Il y a plusieurs listes décrivant `` le ''réservé et `` le ''bien
connu met en communication, comme `` le ''généralement utilisé met en
communication, et le meilleur est :
ftp://ftp.isi.edu/in-notes/iana/assi...s/port-numbers. Pour ceux de vous
lisant toujours RFC 1700 pour découvrir quel nombre gauche fait ce qui,
ARRÊT LE FAISANT. Il est terriblement démodé, et il ne sera pas moins
tellement demain.

Maintenant, quant à faire confiance à cette information : Ces listes,
de quelque façon, ne constituent aucun genre de bible sainte sur lequel les
ports font ce qui.

L'attente, m'a laissé reformulent cela : IL N'Y A AUCUNE MANIÈRE de
DÉTERMINER SÛREMENT QUEL PORT FAIT CE QUI SIMPLEMENT EN REGARDANT DANS Une
LISTE.



6.3 Quels sont les ports d'ÉCOUTE ?
Supposez que vous `` netstat - ` un ''sur votre machine et ports 1025
et 1030 révélés comme écoutant. Que font-elles ?

Redressez, jetons un coup d'oeil dans la liste assignée de nombres
gauches.


BBN IAD du nerf de boeuf iad1 1030/tcp de réseau du nerf
de boeuf 1025/tcp

L'attente, ce qui se produit ? Mon poste de travail a-t-il volé mon
nombre de VISA et a-t-il décidé d'aller nerf de boeuf de jeu avec un certain
serveur escroc sur l'Internet ? Et quel est ce logiciel que le BBN a
installé ?

Ce n'est pas où vous commencez à paniquer et envoyez le courrier à la
liste de murs à l'épreuve du feu. En fait, on a demandé peut-être cette
question les périodes une douzaine pendant les six mois derniers, et chaque
fois qu'on lui répond. Pas cela QUI garde des personnes de poser la même
question encore.

Si vous posez cette question, vous êtes le plus susceptible à l'aide
d'une boîte de fenêtres. Les ports que vous voyez sont les deux ports
d'écoute (le plus susceptibles) que le sous-ensemble de RPC s'ouvre quand il
commence vers le haut.

C'est un exemple d'où des ports dynamicly assignés peuvent être
employés par des processus de serveur. Les applications employant le RPC se
relieront plus tard au port 135 (`` portmapper 'des netbios ') à la question
où trouver un certain service de RPC, et obtiennent une réponse indiquant en
arrière cela que le service particulier peut être entré en contact sur le
port 1025.

Maintenant, comment savons-nous ceci, puisqu'il n'y a aucun `` ''de
liste décrivant ces ports ? Simple : Il n'y a aucun produit de remplacement
pour l'expérience. Et à l'aide des moteurs de recherche d'expédition de
liste aide également un enfer de beaucoup.



6.4 Comment est-ce que je détermine pour quel service le port est ?
Puisqu'il est impossible d'apprendre quel port fait ce qu'en regardant
dans une liste, comment je la font ?

La vieille manière à commande manuelle de la faire est en arrêtant
presque chaque service/daemon fonctionnant sur votre machine, faisant
netstat -a et notant ce que les ports sont ouverts. Il ne devrait pas y
avoir un grand nombre ceux d'écoutes. Alors vous commencez à tourner tous
les services dessus, un, et de noter ce que les nouveaux ports révèlent dans
votre rendement de netstat.

Une autre manière, cette a besoin de plus de travail de conjecture,
telnetting simplement aux ports et voit ce qui sort. Si rien ne sort,
l'essai dactylographiant du baragouin et le claquant écrivent plusieurs
fois, et voient si quelque chose tourne vers le haut. Si vous devenez
binaire déformez, ou rien du tout, ceci évidemment ne vous aidera.

Cependant, ceci vous indiquera seulement ce que des ports d'écoute
sont employés. Il ne vous indiquera pas au sujet des ports dynamiquement
ouverts qui peuvent être ouverts plus tard par ces applications.

Il y a quelques applications qui pourraient vous aider à dépister les
ports utilisés.

Sur des systèmes d'Unix, il y a une utilité gentille appelée lsof qui
vient preinstalled sur beaucoup de systèmes. Elle vous montrera tout des
nombres gauches ouverts et les noms des applications qui les emploient. Ceci
signifie qu'il pourrait vous montrer beaucoup d'aswell localement ouvert de
dossiers comme douilles de TCP/IP. Lisez le texte d'aide.

Sur des systèmes de fenêtres, rien ne vient preinstalled pour vous
aider en cela chargent. (ce qu'il y a de neuf ?) Il y a une utilité appelée
le `` ''d'Inzider qui s'installe à l'intérieur des fenêtres que les douilles
posent et se rappellent dynamiquement quel processus s'ouvre qui mettent en
communication. L'inconvénient de cette approche est qu'il ne peut pas vous
indiquer que quels ports ont été ouverts avant que l'inzider ait commencé,
mais il est le meilleur que vous obtiendrez sur des fenêtres (à ma
connaissance). http://ntsecurity.nu/toolbox/inzider/.



6.5 Il est sûr passer quels ports par un mur à l'épreuve du feu ?
TOUS.

Non, attente, AUCUNE.

Non, attente, uuhhh... J'ai entendu que tous les ports au-dessus de
1024 sont sûrs puisqu'ils sont seulement dynamiques ? ?

Non. Vraiment. Vous NE POUVEZ PAS dire quels ports sont sûrs
simplement en regardant son nombre, simplement parce que c'est vraiment tout
qu'il est. Un nombre. Vous ne pouvez pas monter une attaque par un nombre de
16 bits.

La sécurité `` d'un ''gauche dépend de quelle application vous
accéderez par ce port.

Une idée fausse commune est que les ports 25 (smtp) et il est sûr
passer 80 (HTTP) par un mur à l'épreuve du feu * meep * FAUX. Juste parce
que chacun fait il ne signifie pas que c'est sûr.

Encore, la sécurité d'un port dépend de quelle application vous
accéderez par ce port.

Si vous courez un web server bien-écrit, cela est conçu de la terre
jusqu'à soit bloqué, vous peut se sentir probablement raisonnablement assuré
qu'il est sûr a laissé les personnes extérieures lui accéder par le port 80.
Autrement, vous NE POUVEZ PAS.

Le problème ici n'est pas dans la couche réseau. Il est dans la façon
dont les procédés d'application les données qu'il reçoit. Ces données
peuvent être reçues par le port 80, le port 666, une ligne périodique,
disque souple ou par le télégramme de chant. Si l'application n'est pas
sûre, elle n'importe pas comment les données leur obtiennent. Les données
d'application sont où le vrai danger se trouve.

Si vous êtes intéressé par la sécurité de votre application, allez
souscrivent au bugtraq8ou ou essayent de rechercher leurs archives.

C'est plus d'une question concernant la sécurité d'application plutôt
qu'une question concernant la sécurité de mur à l'épreuve du feu. On
pourrait arguer du fait qu'un mur à l'épreuve du feu devrait arrêter toutes
les attaques possibles, mais avec le nombre de nouveaux protocoles de
réseau, non conçu avec la sécurité à l'esprit, et des applications gérées en
réseau, ni l'un ni l'autre conçues avec la sécurité à l'esprit, il devient
pour qu'un mur à l'épreuve du feu se protège contre toutes les attaques
data-driven.



6.6 Le comportement du ftp
Ou, `` pourquoi je dois ouvrir tous les ports au-dessus de 1024 à mon
ftp server?''

Le ftp ne regarde pas vraiment un sort entier comme d'autres
applications d'une perspective de gestion de réseau.

Il garde un port d'écoute, le port 21, au lequel les utilisateurs se
relient. Tout qu'il est a laissé des personnes entre, et établit un AUTRE
raccordement pour faire des transferts de données réels. Ce deuxième
raccordement est habituellement sur un certain port au-dessus de 1024.

Il y a deux modes, `` ''actif (normal) et `` mode passif de ''. Ce mot
décrit le comportement du serveur.

En mode actif, le client (5.6.7. se relie au port 21 sur le serveur
(1.2.3.4) et entre. Quand les transferts de fichier sont dus, le client
assigne un port dynamique au-dessus de 1024, informe le serveur au sujet de
quel port il a ouvert, et alors le serveur ouvre un nouveau raccordement à
ce port. C'est `` le rôle actif de ''du serveur : il établit activement de
nouveaux raccordements au client.

En mode passif, le raccordement au port 21 est le même. Quand les
transferts de fichier sont dus, le SERVEUR assigne un port dynamique
au-dessus de 1024, informe le client au sujet de quel port il a ouvert, et
alors le CLIENT ouvre un nouveau raccordement à ce port. C'est `` le rôle
passif de ''du serveur : il attend le client pour établir le deuxième
raccordement (de données).

Si votre mur à l'épreuve du feu n'inspecte pas les données
d'application du ftp commandent le raccordement, il ne sauront pas qu'elles
doivent ouvrir dynamiquement de nouveaux ports au-dessus de 1024.

Sur une note latérale : Le comportement traditionnel des serveurs de
ftp en mode actif doit établir la session de données du port 20, et au port
dynamique sur le client. Les serveurs de ftp orientent loin de ce
comportement quelque peu dû à la nécessité de courir en tant que `` ''de
racine sur des systèmes d'unix afin de pouvoir assigner des ports en-dessous
de 1024. Courir en tant que `` ''de racine n'est pas bon pour la sécurité,
depuis s'il y a un bogue dans le logiciel, l'attaquant pourrait compromettre
la machine entière. Il en va de même pour courir en tant que le ``
''d'administrateur ou `` ''de SYSTÈME (``LocalSystem '') sur des machines de
NT, bien que le bas problème gauche ne s'applique pas sur le NT.

Pour l'additionner vers le haut, si votre mur à l'épreuve du feu
comprend le ftp, il pourra manipuler les raccordements de données par
lui-même, et vous ne devrez pas vous inquiéter des ports au-dessus de 1024.

S'il pas , il y a quatre questions que vous devez aborder :

Firewalling un ftp server en mode actif
Vous avez besoin avez laissé vos raccordements ouverts de serveur
nouveaux au monde extérieur sur des ports 1024 et en haut
Firewalling un ftp server en mode passif
Vous avez besoin avez laissé le monde extérieur se relier aux ports
1024 et en haut sur votre serveur. ATTENTION ! ! ! ! Il peut y avoir des
applications fonctionnant sur certains de ces ports que vous ne voulez pas
employer extérieur de personnes. Rejetez l'accès à ces ports avant de
permettre l'accès à la gamme 1024-65535 gauche.
Clients de ftp de Firewalling en mode actif
Vous avez besoin avez laissé le monde extérieur se relier aux ports
1024 et en haut sur vos clients. ATTENTION ! ! ! ! Il peut y avoir des
applications fonctionnant sur certains de ces ports que vous ne voulez pas
employer extérieur de personnes. Rejetez l'accès à ces ports avant de
permettre l'accès à la gamme 1024-65535 gauche.
Clients de ftp de Firewalling en mode passif
Vous avez besoin avez laissé vos raccordements ouverts de clients
nouveaux au monde extérieur sur des ports 1024 et en haut.
Encore, si votre mur à l'épreuve du feu comprend le ftp, aucun des
quatre points ci-dessus ne s'applique à vous. Laissez le mur à l'épreuve du
feu faire le travail pour vous.



6.7 Quel logiciel emploie quel mode de ftp ?
Il appartient au client pour décider quel mode à employer ; le mode de
défaut quand un nouveau raccordement est ouvert est `` mode actif ''.

La plupart des clients de ftp viennent préconfiguré pour employer le
mode actif, mais fournissent une option à utilisation du ''mode `` passif
(de ``PASV ''). Une exception est la ligne de commande de fenêtres client de
ftp qui fonctionne seulement en mode actif.

Les Navigateurs de Web emploient généralement le mode passif en se
reliant par l'intermédiaire du ftp, à d'exception étrange : MSIE 5 emploiera
le ftp actif quand FTP:ing dans `` le mode de ''d'explorateur de dossier et
le ftp passif quand FTP:ing dans `` le mode de ''de Page Web. Il n'y a
aucune raison quelque pour ce comportement ; ma conjecture est que quelqu'un
dans Redmond sans la connaissance du ftp a décidé que `` naturellement nous
emploierons le mode actif quand nous sommes en mode d'explorateur de
dossier, depuis ce des regards plus actifs qu'une page Web ''. Disparaissent
la figure.



6.8 Mon essai de mur à l'épreuve du feu est-il de se relier dehors ?
Mes notations de mur à l'épreuve du feu sont me disant que mon web
server essaye de se relier du port 80 aux ports au-dessus de 1024 sur
l'extérieur. Ce qui est ceci ? !

Si vous voyez les paquets lâchés du port 80 sur votre web server (ou
de port 25 sur votre mail server) à de hauts ports sur l'extérieur, ils
habituellement ne signifient pas que votre web server essaye de se relier
quelque part.

Ils sont le résultat de la synchronisation de mur à l'épreuve du feu
hors d'un raccordement, et de voir le serveur retransmettre de vieilles
réponses (ou essayer de fermer le raccordement) au client.

Les raccordements de TCP impliquent toujours des paquets voyageant
dans LES DEUX directions dans le raccordement.

Si vous pouvez voir les drapeaux de TCP dans les paquets lâchés, vous
verrez que le drapeau de ACK n'est placé mais pas le drapeau de SYN,
signifiant que ce n'est réellement pas un nouveau raccordement formant, mais
plutôt une réponse d'un raccordement précédemment formé.

Lisez le point 8 ci-dessous pour une explication détaillée de ce qui
se produit quand des raccordements de TCP sont formés (et fermé)



6.9 L'anatomie d'un raccordement de TCP
Le TCP est équipé de 6 `` les drapeaux ', qui peuvent être éteints
DESSUS ou. Ces drapeaux sont :

AILERON
`` a commandé la fin de raccordement de ''
SYN
Ouvrez le nouveau raccordement
RST
`` fin immédiate de raccordement de ''
PSH
Demandez au centre serveur de récepteur pour pousser les données
jusqu'à l'application plutôt qu'à la file d'attente juste il
ACK
`` reconnaissez le ''un paquet précédent
URG
`` données pressantes de ''qui doivent être traitées immédiatement
Dans cet exemple, votre client a 5.6.7.8 ans, et le port assigné à
vous est dynamiquement 1049. Le serveur est 1.2.3.4, le port 80.

Vous commencez la tentative de raccordement :

5.6.7.8:1049 -> 1.2.3.4:80 SYN=ON

Le serveur reçoit ce paquet et comprend que quelqu'un veut former un
nouveau raccordement. Une réponse est envoyée :

1.2.3.4:80 -> 5.6.7.8:1049 SYN=ON ACK=ON

Le client reçoit la réponse, et informe que la réponse est reçue

5.6.7.8:1049 -> 1.2.3.4:80 ACK=ON

Ici, le raccordement est ouvert. Ceci s'appelle une poignée de main à
trois voies. Son but est de vérifier AUX DEUX centres serveurs qu'ils ont un
raccordement fonctionnant entre eux.

l'Internet étant ce qui est il, incertain et inondé, là sont des
dispositions de compenser la perte de paquet.

Si le client envoie le SYN initial sans recevoir un SYN+ACK dans
quelques secondes, il renverra le SYN.

Si le serveur envoie le SYN+ACK sans recevoir un ACK en quelques en
second lieu, il renverra le paquet de SYN+ACK.

Le dernier est réellement la raison pour laquelle l'inondation de SYN
fonctionne tellement bien. Si vous envoyez des paquets de SYN d'un bon
nombre de différents ports, ceci attachera beaucoup de ressources sur le
serveur. Si vous refusez également de répondre aux paquets retournés de
SYN+ACK, le serveur GARDERA ces raccordements pendant longtemps, renvoyant
les paquets de SYN+ACK. Quelques serveurs n'accepteront pas de nouveaux
raccordements tandis qu'il y a assez de raccordements formant actuellement ;
c'est pourquoi travaux d'inondation de SYN.

Tous les paquets transmis dans l'une ou l'autre direction après que la
poignée de main à trois voies ait le peu de ACK réglé. Les filtres apatrides
de paquet se servent de ceci dans les prétendus `` filtres établis de '':
Ils ont seulement laissé des paquets par le ce avoir le peu de ACK réglé. De
cette façon, aucun paquet peut passer à travers dans une certaine direction
qui pourrait former un nouveau raccordement. Typiquement, vous ne permettez
pas aux hôtes extérieurs d'ouvrir de nouveaux raccordements aux centres
serveurs intérieurs en exigeant le peu de ACK réglé sur ces paquets.

Quand le temps est venu pour fermer le raccordement, il y a deux
manières de le faire : En utilisant le drapeau d'AILERON, ou employer le
drapeau de RST. En utilisant des drapeaux d'AILERON, les deux réalisations
sont exigées pour envoyer des drapeaux d'AILERON pour indiquer qu'elles
veulent fermer le raccordement, et puis envoient des reconnaissances à ces
ailerons, indiquant qu'elles ont compris que l'autre extrémité veut fermer
le raccordement. En envoyant RST, le raccordement est fermé avec force, et
vous n'obtenez pas vraiment une indication de si l'autre extrémité a compris
votre ordre de remise, ou cela elle en fait a reçu toutes les données que
vous lui avez envoyées.

La manière d'AILERON de la fermeture le raccordement vous expose
également à une situation de démenti-de-service, puisque la pile de TCP doit
se rappeler le raccordement fermé pendant un temps assez long, au cas où
l'autre extrémité ne recevrait pas un des paquets d'AILERON.

Si beaucoup de raccordements sont ouverts et suffisamment fermés, vous
pouvez finir vers le haut d'avoir `` les raccordements fermés de ''dans
toutes vos fentes de raccordement. De cette façon, vous ne pourriez pas
assigner dynamiquement plus de raccordements, voyant qu'ils tous sont
employés. Poignée différente d'OSes cette situation différemment.




A. Quelques produits commercial et fournisseurs
Nous nous sentons que cette matière est trop sensible à l'adresse dans
un FAQ, cependant, une liste indépendamment maintenue (aucune garantie ou
recommandation ne sont impliquées) peut être trouvée en ligne.9



B. Glossaire des limites Mur à l'épreuve du feu-Connexes

Abus de privilège
Quand un utilisateur effectue une action qu'elles ne devraient pas
avoir, selon la politique ou la loi d'organisation.

Listes de Contrôle d'accès
Règles pour les filtres de paquet (typiquement couteaux) qui
définissent quels paquets à passer et quel à bloquer.

Accédez Au Couteau
Un couteau qui relie votre réseau à l'Internet externe. Typiquement,
c'est votre première ligne de la défense contre des attaquants de l'Internet
extérieur. En permettant des listes de contrôle d'accès sur ce couteau, vous
pourrez fournir un niveau de la protection pour tous les centres serveurs ``
derrière le ''qui couteau, faisant efficacement à ce réseau un DMZ au lieu
d'un LAN externe non protégé.

Mur à l'épreuve du feu d'Application-Couche
Un système de mur à l'épreuve du feu dans lequel le service est fourni
par les processus qui maintiennent l'état et l'ordonnancement complets de
raccordement de TCP. Les murs à l'épreuve du feu de couche application
re-adressent souvent le trafic de sorte que le trafic sortant semble avoir
provenu du mur à l'épreuve du feu, plutôt que le centre serveur interne.

Authentification
Le processus de déterminer l'identité d'un utilisateur qui essaye
d'accéder à un système.

Marque d'Authentification
Un dispositif portatif utilisé pour authentifier un utilisateur. La
marque d'authentification fonctionnent par challenge/response, ordres
temps-basés de code, ou d'autres techniques. Ceci peut inclure les listes
sur papier de mots de passe jetables.

Autorisation
Le processus de déterminer quels types d'activités sont autorisés.
Habituellement, l'autorisation est dans le contexte de l'authentification :
une fois que vous avez authentifié un utilisateur, ils peuvent être
différents types autorisés de l'accès ou d'activité.

Bastion host
Un système qui a été durci pour résister à l'attaque, et qui est
installé sur un réseau de telle manière qu'on s'attende à ce que relève
potentiellement de l'attaque. Les centres serveurs de bastion sont souvent
des composants des murs à l'épreuve du feu, ou peuvent être `` des serveurs
d'enchaînement de ''d'extérieur ou des systèmes publics d'accès.
Généralement, un bastion host court une certaine forme du logiciel
d'exploitation tout usage (par exemple, Unix, VMS, NT, etc...) plutôt qu'un
logiciel d'exploitation ROM-BASÉ ou de progiciels.

Challenge/Response
Une technique d'authentification par lequel un serveur envoie un défi
imprévisible à l'utilisateur, qui calcule une réponse en utilisant une
certaine forme de marque d'authentification.

Chroot
Une technique sous Unix par lequel un processus soit de manière
permanente limité à un sous-ensemble d'isolement du filesystem.

Somme Cryptographique
Une fonction à sens unique s'est appliquée à un dossier pour produire
un `` ''unique d'empreinte digitale du dossier pour la référence
postérieure. Les systèmes de somme sont des moyens primaires de détecter le
filesystem trifouiller sur Unix.

Attaque Conduite Par Données
Une forme d'attaque dans laquelle l'attaque est codée dans les données
innofensif-semblantes qui sont exécutées par un utilisateur ou tout autre
logiciel pour mettre en application une attaque. Dans le cas des murs à
l'épreuve du feu, une attaque conduite par données est un souci puisqu'elle
peut obtenir par le mur à l'épreuve du feu sous la forme de données et
lancer une attaque contre un système derrière le mur à l'épreuve du feu.

La défense détaillée
L'approche de sécurité par lequel chaque système sur le réseau soit
fixé au plus grand possible degré. Peut être employé en même temps que des
murs à l'épreuve du feu.

Mystification de DNS
Assumant le nom de DNS d'un autre système en corrompant la cachette
nommée de service d'un système de victime, ou en compromettant un domain
name server pour un domaine valide.

Conjuguent Le Passage Homed
Un passage homed duel est un système qui a deux interfaces ou plus de
réseau, dont chacune est reliée à un réseau différent. Dans des
configurations de mur à l'épreuve du feu, un passage homed duel agit
habituellement de bloquer ou filtrer une partie ou tout le trafic essayant
de passer entre les réseaux.

Couteau de Chiffrage
voir le couteau de perçage d'un tunnel et le périmètre virtuel de
réseau.

Mur à l'épreuve du feu
Un système ou une combinaison des systèmes qui imposent une frontière
entre deux réseaux ou plus.

Sécurité Gérée par le système central
La technique de fixer un système individuel d'attaque. Accueillez la
sécurité basée est personne à charge de logiciel d'exploitation et de
version.

Attaque d'Initié
Une attaque commençant de l'intérieur d'un réseau protégé.

Détection d'Intrusion
La détection des cambriolages ou du cambriolage essaye manuellement ou
par l'intermédiaire des systèmes experts de logiciel qui opèrent des
notations ou de toute autre information disponible sur le réseau.

Mystification d'IP
Une attaque par lequel un système essaye de personnifier illicitement
un autre système en employant son adresse de réseau d'IP.

É****ure d'IP/Détournant
Une attaque par lequel un actif, établi, session est arrêtée et
cooptée par l'attaquant. Les attaques d'é****ure d'IP peuvent se produire
après qu'une authentification ait été faite, permettant à l'attaquant
d'assumer le rôle d'un utilisateur déjà autorisé. Les protections primaires
contre l'é****ure d'IP se fondent sur le chiffrage à la session ou à la
couche réseau.

Moindre Privilège
Concevoir des aspects opérationnels d'un système pour fonctionner avec
une quantité minimum de privilège de système. Ceci réduit le niveau
d'autorisation auquel de diverses actions sont effectuées et diminue la
chance qu'un processus ou un utilisateur avec des privilèges élevés peut
être causé pour exécuter l'activité non autorisée ayant pour résultat une
infraction de sécurité.

Notation
Le processus de stocker des informations sur les événements qui se
sont produits sur le mur à l'épreuve du feu ou le réseau.

Conservation de Notation
Combien de temps des notations d'audit sont maintenues et maintenues.

Traitement de Notation
Comment des notations d'audit sont traitées, recherché les événements
principaux, ou récapitulé.

Mur à l'épreuve du feu de Réseau-Couche
Un mur à l'épreuve du feu dans lequel le trafic est examiné à la
couche de paquet de protocole de réseau.

Sécurité Périmètre-basée
La technique de fixer un réseau en commandant l'accès à tous les
points d'entrée et de sortie du réseau.

Politique
l'Organisation-niveau règne l'utilisation acceptable régissante des
ressources informatiques, des pratiques en matière de sécurité, et des
procédures opérationnelles.

Procuration
Un agent de logiciel qui agit au nom d'un utilisateur. Les
procurations typiques acceptent un raccordement d'un utilisateur, prennent
une décision de savoir si ou le IP address pas d'utilisateur ou de client
n'est autorisé pour employer la procuration, peut-être fait
l'authentification additionnelle, et accomplit alors un raccordement au nom
de l'utilisateur à une destination à distance.

Centre serveur Examiné
Un centre serveur sur un réseau derrière un screening router. Le degré
auquel un centre serveur examiné peut être consulté dépend des règles de
criblage dans le couteau.

Sous-filet Examiné
Un sous-filet derrière un screening router. Le degré auquel le
sous-filet peut être consulté dépend des règles de criblage dans le couteau.

Screening router
Un couteau configuré pour permettre ou nier le trafic basé sur un
ensemble de règles de permission installées par l'administrateur.

Vol de Session
Voyez l'É****ure d'IP.

Trojan Horse
Une entité de logiciel qui semble faire quelque chose de normal mais
qui, en fait, contient un programme de trappe ou d'attaque.

Couteau de Perçage d'un tunnel
Un couteau ou un système capable du trafic de cheminement en le
chiffrant et en l'encapsulant pour la transmission à travers untrusted le
réseau, pour la De-encapsulation et le déchiffrage certains.

Technologie Sociale
Une attaque basée sur les utilisateurs ou les administrateurs
trompeurs à l'emplacement de cible. Des attaques sociales de technologie
sont typiquement effectuées par les utilisateurs ou les opérateurs et
feindre d'appel téléphonique pour être un utilisateur autorisé, pour essayer
de gagner l'accès illicite aux systèmes.

Périmètre Virtuel de Réseau
Un réseau qui semble être un réseau protégé simple derrière des murs à
l'épreuve du feu, qui entoure réellement l'excédent virtuel chiffré de liens
untrusted des réseaux.

Virus
Un segment de code de réplique qui s'attache à un fichier de programme
ou de données. Les virus pourraient ou ne pourraient pas contenir des
programmes ou des trappes d'attaque. Malheureusement, beaucoup ont commencé
à appeler tout malveillant le code des `` virus '. Si vous voulez dire le ``
''de Trojan Horse ou `` le ''de ver, dites ''ou `` le ver 'le de `` Trojan
Horse '.

Ver
Un programme autonome qui, une fois couru, copie lui-même d'un centre
serveur à l'autre, et fonctionne alors lui-même sur chaque hôte nouvellement
infecté. Les `` virus largement rapportés d'Internet 'de 1988 n'étaient pas
un virus du tout, mais réellement un ver.





----------------------------------------------------------------------
----------

Apostilles
... Système1
http://mail-abuse.org/
... Initiative2
http://mail-abuse.org/tsi/
... Calmar3
http://squid.nlanr.net/
... Apache4
http://www.apache.org/docs/mod/mod_proxy.html
... Procuration5
http://home.netscape.com/proxy/v3.5/index.html
... Netscape6
http://developer.netscape.com/docs/m...n/contents.htm
... mur à l'épreuve du feu7
http://www.real.com/firewall/
... bugtraq8
http://www.securityfocus.com
... en ligne.9
http://www.thegild.com/firewall/.






 
Reply With Quote
 
 
 
Reply

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off


Similar Threads
Thread Thread Starter Forum Replies Last Post
Learn to speak French with rocket French. jose perez NZ Computing 1 12-24-2006 04:25 AM
[OT] Seeking assistance with "Natural Language" translation for French;Italian;Russian of a FAQ doc. rH Digital Photography 0 04-13-2006 07:36 PM
Internet Firewall FAQ in Italian William L. Sun Computer Security 6 02-11-2005 01:22 PM
Internet Firewall FAQ in German William L. Sun Computer Security 0 02-06-2005 12:46 AM
Windows XP Firewall/Internet Connection Firewall Anonymous Computer Support 2 12-01-2003 01:27 AM



Advertisments